📚 Takumi Yamada DX Library bis 3.15 CL_vsprintf Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80110
Betroffen: Takumi Yamada DX Library bis 3.15
Veröffentlicht: 08.01.2016
Risiko: kritisch
Erstellt: 08.01.2016
Eintrag: 66.2% komplett
Beschreibung
In Takumi Yamada DX Library bis 3.15 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Es geht um die Funktion CL_vsprintf
. Durch Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Buffer overflow in the CL_vsprintf function in Takumi Yamada DX Library before 3.16 allows remote attackers to execute arbitrary code via a crafted string.
Die Schwachstelle wurde am 08.01.2016 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2016-1131 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Upgrade auf die Version 3.16 vermag dieses Problem zu beheben.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:takumi_yamada:dx_library:3.0
- cpe:/a:takumi_yamada:dx_library:3.1
- cpe:/a:takumi_yamada:dx_library:3.2
- cpe:/a:takumi_yamada:dx_library:3.3
- cpe:/a:takumi_yamada:dx_library:3.4
- cpe:/a:takumi_yamada:dx_library:3.5
- cpe:/a:takumi_yamada:dx_library:3.6
- cpe:/a:takumi_yamada:dx_library:3.7
- cpe:/a:takumi_yamada:dx_library:3.8
- cpe:/a:takumi_yamada:dx_library:3.9
- cpe:/a:takumi_yamada:dx_library:3.10
- cpe:/a:takumi_yamada:dx_library:3.11
- cpe:/a:takumi_yamada:dx_library:3.12
- cpe:/a:takumi_yamada:dx_library:3.13
- cpe:/a:takumi_yamada:dx_library:3.14
- cpe:/a:takumi_yamada:dx_library:3.15
Exploiting
Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: DX Library 3.16
Timeline
08.01.2016 | Advisory veröffentlicht
08.01.2016 | VulDB Eintrag erstellt
08.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-1131 (mitre.org) (nvd.nist.org) (cvedetails.com)
...