📚 GNU libidn bis 1.32 lib/nfkc.c stringprep_utf8_nfkc_normalize Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In GNU libidn bis 1.32 wurde eine Schwachstelle gefunden. Sie wurde als problematisch eingestuft. Dabei geht es um die Funktion stringprep_utf8_nfkc_normalize
der Bibliothek lib/nfkc.c. Durch Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle (Out-of-Bounds) ausgenutzt werden. Die Auswirkungen sind bekannt für die Verfügbarkeit.
Die Schwachstelle wurde am 07.09.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-6263 geführt. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 1.33 vermag dieses Problem zu lösen.
Von weiterem Interesse können die folgenden Einträge sein: 91361 und 91362.
CVSSv3
Base Score: ≈3.5 [?]Temp Score: ≈3.4 [?]
Vector: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Low
CVSSv2
Base Score: ≈1.5 (CVSS2#AV:A/AC:M/Au:S/C:N/I:N/A:P) [?]Temp Score: ≈1.3 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Low
CPE
- cpe:/a:gnu:libidn:1.0
- cpe:/a:gnu:libidn:1.1
- cpe:/a:gnu:libidn:1.2
- cpe:/a:gnu:libidn:1.3
- cpe:/a:gnu:libidn:1.4
- cpe:/a:gnu:libidn:1.5
- cpe:/a:gnu:libidn:1.6
- cpe:/a:gnu:libidn:1.7
- cpe:/a:gnu:libidn:1.8
- cpe:/a:gnu:libidn:1.9
- cpe:/a:gnu:libidn:1.10
- cpe:/a:gnu:libidn:1.11
- cpe:/a:gnu:libidn:1.12
- cpe:/a:gnu:libidn:1.13
- cpe:/a:gnu:libidn:1.14
- cpe:/a:gnu:libidn:1.15
- cpe:/a:gnu:libidn:1.16
- cpe:/a:gnu:libidn:1.17
- cpe:/a:gnu:libidn:1.18
- cpe:/a:gnu:libidn:1.19
- cpe:/a:gnu:libidn:1.20
- cpe:/a:gnu:libidn:1.21
- cpe:/a:gnu:libidn:1.22
- cpe:/a:gnu:libidn:1.23
- cpe:/a:gnu:libidn:1.24
- cpe:/a:gnu:libidn:1.25
- cpe:/a:gnu:libidn:1.26
- cpe:/a:gnu:libidn:1.27
- cpe:/a:gnu:libidn:1.28
- cpe:/a:gnu:libidn:1.29
- cpe:/a:gnu:libidn:1.30
- cpe:/a:gnu:libidn:1.31
- cpe:/a:gnu:libidn:1.32
Exploiting
Klasse: Denial of ServiceLokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: libidn 1.33
Timeline
07.09.2016 Advisory veröffentlicht08.09.2016 VulDB Eintrag erstellt
08.09.2016 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2016-6263 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 91361, 91362
Eintrag
Erstellt: 08.09.2016Eintrag: 71.2% komplett
...