📚 Apache Sentry bis 1.6.x Blacklist Filter reflect/reflect2/java_method erweiterte Rechte
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine Schwachstelle wurde in Apache Sentry bis 1.6.x gefunden. Sie wurde als kritisch eingestuft. Betroffen davon ist die Funktion reflect/reflect2/java_method
der Komponente Blacklist Filter. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 19.08.2016 veröffentlicht. Die Identifikation der Schwachstelle findet als CVE-2016-0760 statt. Der Angriff kann über das Netzwerk passieren. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $5k-$10k zu rechnen.
Ein Upgrade auf die Version 1.7.0 vermag dieses Problem zu beheben.
CVSSv3
Base Score: ≈6.3 [?]Temp Score: ≈6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
Exploiting
Klasse: Erweiterte RechteLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Sentry 1.7.0
Timeline
19.08.2016 Advisory veröffentlicht20.08.2016 VulDB Eintrag erstellt
20.08.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-0760 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 20.08.2016Eintrag: 71.2% komplett
...