📚 irssi bis 0.8.17 Heap-based Pufferüberlauf
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Es wurde eine kritische Schwachstelle in irssi bis 0.8.17 ausgemacht. Es geht dabei um eine unbekannte Funktion. Durch die Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle (Heap-based) ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 21.09.2016 durch Gabriel Campana und Adrien Guinet als DSA-3672-1 in Form eines bestätigten Mailinglist Posts (Bugtraq) publik gemacht. Das Advisory kann von seclists.org heruntergeladen werden. Die Veröffentlichung geschah dabei in Koordination mit dem Hersteller. Die Verwundbarkeit wird unter CVE-2016-7045 geführt. Der Angriff kann über das Netzwerk erfolgen. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle.
Ein Upgrade auf die Version 0.8.17-1+deb8u1 vermag dieses Problem zu beheben.
Die Einträge 91841 sind sehr ähnlich.
CVSSv3
Base Score: ≈6.3 [?]Temp Score: ≈6.0 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]Temp Score: ≈5.2 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium
CPE
- cpe:/a:irssi:irssi:0.8.0
- cpe:/a:irssi:irssi:0.8.1
- cpe:/a:irssi:irssi:0.8.2
- cpe:/a:irssi:irssi:0.8.3
- cpe:/a:irssi:irssi:0.8.4
- cpe:/a:irssi:irssi:0.8.5
- cpe:/a:irssi:irssi:0.8.6
- cpe:/a:irssi:irssi:0.8.7
- cpe:/a:irssi:irssi:0.8.8
- cpe:/a:irssi:irssi:0.8.9
- cpe:/a:irssi:irssi:0.8.10
- cpe:/a:irssi:irssi:0.8.11
- cpe:/a:irssi:irssi:0.8.12
- cpe:/a:irssi:irssi:0.8.13
- cpe:/a:irssi:irssi:0.8.14
- cpe:/a:irssi:irssi:0.8.15
- cpe:/a:irssi:irssi:0.8.16
- cpe:/a:irssi:irssi:0.8.17
Exploiting
Klasse: PufferüberlaufLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: irssi 0.8.17-1+deb8u1
Timeline
21.09.2016 Advisory veröffentlicht22.09.2016 VulDB Eintrag erstellt
22.09.2016 VulDB letzte Aktualisierung
Quellen
Advisory: DSA-3672-1Person: Gabriel Campana/Adrien Guinet
Status: Bestätigt
Koordiniert: Ja
CVE: CVE-2016-7045 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 91841
Eintrag
Erstellt: 22.09.2016Eintrag: 74.2% komplett
...