📚 Colorscore Gem bis 0.0.4 histogram.rb image_path/colors/depth Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 80137
Betroffen: Colorscore Gem bis 0.0.4
Veröffentlicht: 08.01.2016
Risiko: problematisch
Erstellt: 10.01.2016
Aktualisiert: 11.01.2016
Eintrag: 65.7% komplett
Beschreibung
In Colorscore Gem bis 0.0.4 wurde eine problematische Schwachstelle entdeckt. Betroffen ist eine unbekannte Funktion der Datei lib/colorscore/histogram.rb. Mit der Manipulation des Arguments image_path/colors/depth
mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
The initialize method in the Histogram class in lib/colorscore/histogram.rb in the colorscore gem before 0.0.5 for Ruby allows context-dependent attackers to execute arbitrary code via shell metacharacters in the (1) image_path, (2) colors, or (3) depth variable.
Die Schwachstelle wurde am 08.01.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2015-7541 geführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 0.0.5 vermag dieses Problem zu lösen.CVSS
Base Score: 4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 3.6 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:colorscore_gem:colorscore_gem:0.0.0
- cpe:/a:colorscore_gem:colorscore_gem:0.0.1
- cpe:/a:colorscore_gem:colorscore_gem:0.0.2
- cpe:/a:colorscore_gem:colorscore_gem:0.0.3
- cpe:/a:colorscore_gem:colorscore_gem:0.0.4
Exploiting
Klasse: Pufferüberlauf
Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Colorscore Gem 0.0.5
Timeline
08.01.2016 | Advisory veröffentlicht
10.01.2016 | VulDB Eintrag erstellt
11.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7541 (mitre.org) (nvd.nist.org) (cvedetails.com)
...