📚 Mensch und Maschine MapEdit 3.2.6.0 DataAccessService.svc SQL Injection

🕛 Zeit seit Veröffentlichung: 2762 Tage, 0 Stunden 39 Minuten
📆 Veröffentlicht am: 13.09.2016 um 02:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Es wurde eine Schwachstelle in Mensch und Maschine MapEdit 3.2.6.0 entdeckt. Sie wurde als kritisch eingestuft. Betroffen hiervon ist eine unbekannte Funktion der Datei /Mum.Geo.Services/DataAccessService.svc. Dank Manipulation mit einer unbekannten Eingabe kann eine SQL Injection-Schwachstelle ausgenutzt werden. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Entdeckung des Problems geschah am 07.06.2016. Die Schwachstelle wurde am 13.09.2016 durch Paul Baade und Sven Krewitt in Form eines ungeprüften Mailinglist Posts (Full-Disclosure) publiziert. Das Advisory kann von seclists.org heruntergeladen werden. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Das Ausnutzen erfordert eine einfache Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.

Es wurde direkt nach dem Advisory ein Exploit veröffentlicht. Er wird als proof-of-concept gehandelt. Unter seclists.org wird der Exploit zur Verfügung gestellt. Vor einer Veröffentlichung handelte es sich 52 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $1k-$2k auf dem Schwarzmarkt.

Ein Aktualisieren auf die Version 6.2.74 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. Mensch und Maschine hat nachweislich vorgängig gehandelt.

Von weiterem Interesse können die folgenden Einträge sein: 91718, 91720, 91721 und 91722.

CVSSv3

Base Score: 6.3 [?]
Temp Score: 5.5 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:P/RL:O/RC:R [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 6.5 (CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P) [?]
Temp Score: 4.8 (CVSS2#E:POC/RL:OF/RC:UR) [?]
Zuverlässigkeit: High

CPE

cpe:/a:mensch_und_maschine:mapedit:3.2.6.0

Exploiting

Klasse: SQL Injection
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: öffentlich
Status: Proof-of-Concept
Download: seclists.org

Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 50 Tage seit gemeldet
0-Day Time: 52 Tage seit gefunden
Exploit Delay Time: 0 Tage seit bekannt

Upgrade: MapEdit 6.2.74

Timeline

07.06.2016 Schwachstelle gefunden
09.06.2016 Hersteller informiert
23.06.2016 Hersteller bestätigt
29.07.2016 Gegenmassnahme veröffentlicht
13.09.2016 Advisory veröffentlicht
13.09.2016 Exploit veröffentlicht
21.09.2016 VulDB Eintrag erstellt
21.09.2016 VulDB letzte Aktualisierung

Quellen

Advisory: seclists.org
Person: Paul Baade/Sven Krewitt
Status: Ungeprüft
Siehe auch: 91718, 91720, 91721, 91722, 91723

Eintrag

Erstellt: 21.09.2016
Eintrag: 78.3% komplett
...

🏠 Team IT Security News