📚 Pivotal Spring Framework bis 3.2.13/4.1.6 Inline DTD Declaration Handler XML File Memory Consumption Denial of Service

🕛 Zeit seit Veröffentlichung: 2837 Tage, 19 Stunden 10 Minuten
📆 Veröffentlicht am: 12.07.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Es wurde eine Schwachstelle in Pivotal Spring Framework bis 3.2.13/4.1.6 entdeckt. Sie wurde als problematisch eingestuft. Es betrifft eine unbekannte Funktion der Komponente Inline DTD Declaration Handler. Durch Beeinflussen durch XML File kann eine Denial of Service-Schwachstelle (Memory Consumption) ausgenutzt werden. Auswirken tut sich dies auf die Verfügbarkeit.

Die Schwachstelle wurde am 12.07.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2015-3192 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 3.2.14 oder 4.1.7 vermag dieses Problem zu lösen.

CVSSv3

Base Score: ≈4.3 [?]
Temp Score: ≈4.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium

CVSSv2

Base Score: ≈3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:N/A:P) [?]
Temp Score: ≈3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium

CPE

• cpe:/a:pivotal:spring_framework:3.2.13
• cpe:/a:pivotal:spring_framework:4.1.6

Exploiting

Klasse: Denial of Service
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: Spring Framework 3.2.14/4.1.7

Timeline

12.07.2016 Advisory veröffentlicht
13.07.2016 VulDB Eintrag erstellt
13.07.2016 VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2015-3192 (mitre.org) (nvd.nist.org) (cvedetails.com)

Eintrag

Erstellt: 13.07.2016
Eintrag: 72.2% komplett
...