📚 Mensch und Maschine MapEdit 3.2.6.0 DataAccessService.svc SQL Injection
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine Schwachstelle in Mensch und Maschine MapEdit 3.2.6.0 entdeckt. Sie wurde als kritisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion der Datei /Mum.Geo.Services/DataAccessService.svc. Dank Manipulation mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Entdeckung des Problems geschah am 07.06.2016. Die Schwachstelle wurde am 13.09.2016 durch Paul Baade und Sven Krewitt in Form eines ungeprüften Mailinglist Posts (Full-Disclosure) publiziert. Das Advisory kann von seclists.org heruntergeladen werden. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Unter seclists.org wird der Exploit zur Verfügung gestellt. Vor einer Veröffentlichung handelte es sich 52 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $1k-$2k auf dem Schwarzmarkt.
Ein Aktualisieren auf die Version 6.2.74 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Mensch und Maschine hat nachweislich vorgängig gehandelt.
Von weiterem Interesse können die folgenden Einträge sein: 91718, 91720, 91721 und 91722.
CVSSv3
Base Score: 6.3 [?]Temp Score: 5.5 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:R [?]
Zuverlässigkeit: High
CVSSv2
Base Score: 6.5 (CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P) [?]Temp Score: 4.8 (CVSS2#E:POC/RL:OF/RC:UR) [?]
Zuverlässigkeit: High
CPE
Exploiting
Klasse: SQL InjectionLokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Download: seclists.org
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
Reaction Time: 50 Tage seit gemeldet
0-Day Time: 52 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt
Upgrade: MapEdit 6.2.74
Timeline
07.06.2016 Schwachstelle gefunden09.06.2016 Hersteller informiert
23.06.2016 Hersteller bestätigt
29.07.2016 Gegenmassnahme veröffentlicht
13.09.2016 Advisory veröffentlicht
13.09.2016 Exploit veröffentlicht
21.09.2016 VulDB Eintrag erstellt
21.09.2016 VulDB letzte Aktualisierung
Quellen
Advisory: seclists.orgPerson: Paul Baade/Sven Krewitt
Status: Ungeprüft
Siehe auch: 91718, 91720, 91721, 91722, 91723
Eintrag
Erstellt: 21.09.2016Eintrag: 78.3% komplett
...