1. Reverse Engineering >
  2. Exploits >
  3. PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte


Exploits vom | Direktlink: scip.ch Nachrichten Bewertung

Allgemein

scipID: 80208
Betroffen: PathTools bis 3.61
Veröffentlicht: 13.01.2016
Risiko: problematisch

Erstellt: 14.01.2016
Eintrag: 66.2% komplett

Beschreibung

Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabei betrifft es die Funktion canonpath der Komponente File::Spec Module. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Taint) ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The canonpath function in the File::Spec module in PathTools before 3.62, as used in Perl, does not properly preserve the taint attribute of data, which might allow context-dependent attackers to bypass the taint protection mechanism via a crafted string.

Die Schwachstelle wurde am 13.01.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-8607 geführt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 3.62 vermag dieses Problem zu beheben.

CVSS

Base Score: 4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 3.6 (CVSS2#E:ND/RL:OF/RC:ND) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: PathTools 3.62

Timeline

13.01.2016 | Advisory veröffentlicht
14.01.2016 | VulDB Eintrag erstellt
14.01.2016 | VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2015-8607 (mitre.org) (nvd.nist.org) (cvedetails.com)

...

http://www.scip.ch/?vuldb.80208

Externe Webseite mit kompletten Inhalt öffnen

Kommentiere zu PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte






➤ Ähnliche Beiträge von Team IT Security

  • 1.

    PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

    vom 4146.94 Punkte ic_school_black_18dp
    Allgemein scipID: 80208 Betroffen: PathTools bis 3.61 Veröffentlicht: 13.01.2016 Risiko: problematisch Erstellt: 14.01.2016 Eintrag: 66.2% komplett Beschreibung Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabe
  • 2.

    PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

    vom 4146.94 Punkte ic_school_black_18dp
    Allgemein scipID: 80208 Betroffen: PathTools bis 3.61 Veröffentlicht: 13.01.2016 Risiko: problematisch Erstellt: 14.01.2016 Eintrag: 66.2% komplett Beschreibung Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabe
  • 3.

    warning: file /usr/lib/node_modules/npm/scripts/index-build.js: remove failed: No such file or directory warning: file

    vom 728.98 Punkte ic_school_black_18dp
    Hello everyone , I have to update amazon linux server for partners, I encounter many warnings that there are no files or folders in nodejs like this, will it affect the system? , I think yum update has this warning because it didn't have any files or folde
  • 4.

    Anno 1404 per wine wouldn't start

    vom 552.02 Punkte ic_school_black_18dp
    Hello, I'm not a very new Linux user nor am I very deep into the Unix system. I recently got a game that I'd like to play again and installed it via wine. Starting Anno 1404 I can see the ingame mouse for a second before it crashes. I run Manjaro Linux w
  • 5.

    Privateloader/Hacxx Mega Release 1 2020

    vom 222.75 Punkte ic_school_black_18dp
    [IP LOGGER] IP2Email Link Generator - Discover a user ip address remotelyhttp://www.mediafire.com/file/658bvnm6h4...erator.rar [Ready to import] xxx trailers & movies Blog in a WXR File (Wordpress file)http://www.mediafire.com/file/v9p9m2vwpn...-01-07.xml [Site] Encurtador de li
  • 6.

    Seccomp Tools - Provide Powerful Tools For Seccomp Analysis

    vom 166.84 Punkte ic_school_black_18dp
    Provide powerful tools for seccomp analysis.This project is targeted to (but not limited to) analyze seccomp sandbox in CTF pwn challenges. Some features might be CTF-specific, but still useful for analyzing seccomp in real-case.Features Dump - Automaticall
  • 7.

    HPR2948: Testing with Haskell

    vom 164.4 Punkte ic_school_black_18dp
    Intro I have liked writing automated tests for a long time, so it’s not a surprise that I end up writing them in Haskell too. This is very broad topic, so this episode only scratches the surface. HSpec HSpec is testing framework that automaticall
  • 8.

    Strelka - Scanning Files At Scale With Python And ZeroMQ

    vom 142.7 Punkte ic_school_black_18dp
    Strelka is a real-time file scanning system used for threat hunting, threat detection, and incident response. Based on the design established by Lockheed Martin's Laika BOSS and similar projects (see: related projects), Strelka's purpose is to perfor
  • 9.

    Scrounger - Mobile Application Testing Toolkit

    vom 132.76 Punkte ic_school_black_18dp
    Scrounger - a person who borrows from or lives off others. There is no better description for this tool for two main reasons, the first is because this tool takes inspiration from many other tools that have already been published, the second reason is because it lives off mobile application's vulnerabilities. Why Even t
  • 10.

    AutoMacTC - Automated Mac Forensic Triage Collector

    vom 132.48 Punkte ic_school_black_18dp
    This is a modular forensic triage collection framework designed to access various forensic artifacts on macOS, parse them, and present them in formats viable for analysis. The output may provide valuable insights for incident response in a macOS environmen
  • 11.

    Better template support and error detection in C++ Modules with MSVC 2017 version 15.9

    vom 132.2 Punkte ic_school_black_18dp
    Overview It has been a long time since we last talked about C++ Modules. We feel it is time to revisit what has been happening under the hood of MSVC for modules. The Visual C++ Team has been dedicated to pushing conformance to the standard 
  • 12.

    Better template support and error detection in C++ Modules with MSVC 2017 version 15.9

    vom 132.2 Punkte ic_school_black_18dp
    Overview It has been a long time since we last talked about C++ Modules. We feel it is time to revisit what has been happening under the hood of MSVC for modules. The Visual C++ Team has been dedicated to pushing conformance to the standard