📚 jose-php bis 1.4 RSA Handler JWE.php JOSE_JWE schwache Verschlüsselung
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in jose-php bis 1.4 ausgemacht. Sie wurde als kritisch eingestuft. Es geht dabei um die Funktion JOSE_JWE
der Datei JWE.php der Komponente RSA Handler. Durch Manipulieren mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 03.09.2016 publiziert. Die Identifikation der Schwachstelle wird mit CVE-2016-5430 vorgenommen. Sie ist schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$1k kosten.
Ein Aktualisieren auf die Version 1.5 vermag dieses Problem zu lösen.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 91076.
CVSSv3
Base Score: 5.0 [?]Temp Score: 4.8 [?]
Vector: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: 4.6 (CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:P) [?]Temp Score: 4.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
- cpe:/a:jose-php:jose-php:1.0
- cpe:/a:jose-php:jose-php:1.1
- cpe:/a:jose-php:jose-php:1.2
- cpe:/a:jose-php:jose-php:1.3
- cpe:/a:jose-php:jose-php:1.4
Exploiting
Klasse: Schwache VerschlüsselungLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: jose-php 1.5
Timeline
03.09.2016 Advisory veröffentlicht05.09.2016 VulDB Eintrag erstellt
05.09.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-5430 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 91076
Eintrag
Erstellt: 05.09.2016Eintrag: 72.2% komplett
...