๐ PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80208
Betroffen: PathTools bis 3.61
Veröffentlicht: 13.01.2016
Risiko: problematisch
Erstellt: 14.01.2016
Eintrag: 66.2% komplett
Beschreibung
Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabei betrifft es die Funktion canonpath
der Komponente File::Spec Module. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Taint) ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
The canonpath function in the File::Spec module in PathTools before 3.62, as used in Perl, does not properly preserve the taint attribute of data, which might allow context-dependent attackers to bypass the taint protection mechanism via a crafted string.
Die Schwachstelle wurde am 13.01.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-8607 geführt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 3.62 vermag dieses Problem zu beheben.CVSS
Base Score: 4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 3.6 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:pathtools:pathtools:3.0
- cpe:/a:pathtools:pathtools:3.1
- cpe:/a:pathtools:pathtools:3.2
- cpe:/a:pathtools:pathtools:3.3
- cpe:/a:pathtools:pathtools:3.4
- cpe:/a:pathtools:pathtools:3.5
- cpe:/a:pathtools:pathtools:3.6
- cpe:/a:pathtools:pathtools:3.7
- cpe:/a:pathtools:pathtools:3.8
- cpe:/a:pathtools:pathtools:3.9
- cpe:/a:pathtools:pathtools:3.10
- cpe:/a:pathtools:pathtools:3.11
- cpe:/a:pathtools:pathtools:3.12
- cpe:/a:pathtools:pathtools:3.13
- cpe:/a:pathtools:pathtools:3.14
- cpe:/a:pathtools:pathtools:3.15
- cpe:/a:pathtools:pathtools:3.16
- cpe:/a:pathtools:pathtools:3.17
- cpe:/a:pathtools:pathtools:3.18
- cpe:/a:pathtools:pathtools:3.19
- cpe:/a:pathtools:pathtools:3.20
- cpe:/a:pathtools:pathtools:3.21
- cpe:/a:pathtools:pathtools:3.22
- cpe:/a:pathtools:pathtools:3.23
- cpe:/a:pathtools:pathtools:3.24
- cpe:/a:pathtools:pathtools:3.25
- cpe:/a:pathtools:pathtools:3.26
- cpe:/a:pathtools:pathtools:3.27
- cpe:/a:pathtools:pathtools:3.28
- cpe:/a:pathtools:pathtools:3.29
- cpe:/a:pathtools:pathtools:3.30
- cpe:/a:pathtools:pathtools:3.31
- cpe:/a:pathtools:pathtools:3.32
- cpe:/a:pathtools:pathtools:3.33
- cpe:/a:pathtools:pathtools:3.34
- cpe:/a:pathtools:pathtools:3.35
- cpe:/a:pathtools:pathtools:3.36
- cpe:/a:pathtools:pathtools:3.37
- cpe:/a:pathtools:pathtools:3.38
- cpe:/a:pathtools:pathtools:3.39
- cpe:/a:pathtools:pathtools:3.40
- cpe:/a:pathtools:pathtools:3.41
- cpe:/a:pathtools:pathtools:3.42
- cpe:/a:pathtools:pathtools:3.43
- cpe:/a:pathtools:pathtools:3.44
- cpe:/a:pathtools:pathtools:3.45
- cpe:/a:pathtools:pathtools:3.46
- cpe:/a:pathtools:pathtools:3.47
- cpe:/a:pathtools:pathtools:3.48
- cpe:/a:pathtools:pathtools:3.49
- cpe:/a:pathtools:pathtools:3.50
- cpe:/a:pathtools:pathtools:3.51
- cpe:/a:pathtools:pathtools:3.52
- cpe:/a:pathtools:pathtools:3.53
- cpe:/a:pathtools:pathtools:3.54
- cpe:/a:pathtools:pathtools:3.55
- cpe:/a:pathtools:pathtools:3.56
- cpe:/a:pathtools:pathtools:3.57
- cpe:/a:pathtools:pathtools:3.58
- cpe:/a:pathtools:pathtools:3.59
- cpe:/a:pathtools:pathtools:3.60
- cpe:/a:pathtools:pathtools:3.61
Exploiting
Klasse: Erweiterte Rechte
Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: PathTools 3.62
Timeline
13.01.2016 | Advisory veröffentlicht
14.01.2016 | VulDB Eintrag erstellt
14.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-8607 (mitre.org) (nvd.nist.org) (cvedetails.com)
...