๐ Linux Kernel NFSv4 NULL Pointer Dereference Denial of Service
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80182
Betroffen: Linux Kernel
Veröffentlicht: 06.01.2016
Risiko: problematisch
Erstellt: 12.01.2016
Eintrag: 71.3% komplett
Beschreibung
In Linux Kernel – eine genaue Versionsangabe ist nicht möglich – wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist eine unbekannte Funktion der Komponente NFSv4. Durch die Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (NULL Pointer Dereference) ausgenutzt werden. Auswirkungen sind zu beobachten für die Verfügbarkeit.
Die Schwachstelle wurde am 06.01.2016 in Form eines bestätigten GIT Commits (GIT Repository) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter git.kernel.org. Eine eindeutige Identifikation der Schwachstelle wird seit dem 06.01.2016 mit CVE-2015-8746 vorgenommen. Das Ausnutzen gilt als leicht. Die Umsetzung des Angriffs hat dabei lokal zu erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Die Schwachstelle lässt sich durch das Einspielen eines Patches beheben. Dieser kann von git.kernel.org bezogen werden. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (109545) dokumentiert.CVSS
Base Score: 4.9 (CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:C) [?]
Temp Score: 3.6 (CVSS2#E:U/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Denial of Service
Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Patch
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Patch: git.kernel.org
Timeline
06.01.2016 | Advisory veröffentlicht
06.01.2016 | CVE zugewiesen
12.01.2016 | VulDB Eintrag erstellt
12.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: git.kernel.org
Status: Bestätigt
CVE: CVE-2015-8746 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 109545 – Linux Kernel NFSv4 denial of service
...