📚 AVM FRITZ!OS bis 6.29 Firmware Update Handler erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80113
Betroffen: AVM FRITZ!OS bis 6.29
Veröffentlicht: 08.01.2016
Risiko: kritisch
Erstellt: 10.01.2016
Aktualisiert: 11.01.2016
Eintrag: 66.8% komplett
Beschreibung
In AVM FRITZ!OS bis 6.29 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Dabei geht es um eine unbekannte Funktion der Komponente Firmware Update Handler. Dank der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
AVM FRITZ!OS before 6.30 extracts the contents of firmware updates before verifying their cryptographic signature, which allows remote attackers to create symlinks or overwrite critical files, and consequently execute arbitrary code, via a crafted firmware image.
Die Schwachstelle wurde am 08.01.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2014-8886 geführt. Der Angriff kann über das Netzwerk angegangen werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren auf die Version 6.30 vermag dieses Problem zu lösen.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:avm:fritzos:6.0
- cpe:/a:avm:fritzos:6.1
- cpe:/a:avm:fritzos:6.2
- cpe:/a:avm:fritzos:6.3
- cpe:/a:avm:fritzos:6.4
- cpe:/a:avm:fritzos:6.5
- cpe:/a:avm:fritzos:6.6
- cpe:/a:avm:fritzos:6.7
- cpe:/a:avm:fritzos:6.8
- cpe:/a:avm:fritzos:6.9
- cpe:/a:avm:fritzos:6.10
- cpe:/a:avm:fritzos:6.11
- cpe:/a:avm:fritzos:6.12
- cpe:/a:avm:fritzos:6.13
- cpe:/a:avm:fritzos:6.14
- cpe:/a:avm:fritzos:6.15
- cpe:/a:avm:fritzos:6.16
- cpe:/a:avm:fritzos:6.17
- cpe:/a:avm:fritzos:6.18
- cpe:/a:avm:fritzos:6.19
- cpe:/a:avm:fritzos:6.20
- cpe:/a:avm:fritzos:6.21
- cpe:/a:avm:fritzos:6.22
- cpe:/a:avm:fritzos:6.23
- cpe:/a:avm:fritzos:6.24
- cpe:/a:avm:fritzos:6.25
- cpe:/a:avm:fritzos:6.26
- cpe:/a:avm:fritzos:6.27
- cpe:/a:avm:fritzos:6.28
- cpe:/a:avm:fritzos:6.29
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: FRITZ!OS 6.30
Timeline
08.01.2016 | Advisory veröffentlicht
10.01.2016 | VulDB Eintrag erstellt
11.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2014-8886 (mitre.org) (nvd.nist.org) (cvedetails.com)
...