1. Reverse Engineering >
  2. Exploits >
  3. PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte


Exploits vom | Direktlink: scip.ch Nachrichten Bewertung

Allgemein

scipID: 80208
Betroffen: PathTools bis 3.61
Veröffentlicht: 13.01.2016
Risiko: problematisch

Erstellt: 14.01.2016
Eintrag: 66.2% komplett

Beschreibung

Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabei betrifft es die Funktion canonpath der Komponente File::Spec Module. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Taint) ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The canonpath function in the File::Spec module in PathTools before 3.62, as used in Perl, does not properly preserve the taint attribute of data, which might allow context-dependent attackers to bypass the taint protection mechanism via a crafted string.

Die Schwachstelle wurde am 13.01.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-8607 geführt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 3.62 vermag dieses Problem zu beheben.

CVSS

Base Score: 4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 3.6 (CVSS2#E:ND/RL:OF/RC:ND) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: PathTools 3.62

Timeline

13.01.2016 | Advisory veröffentlicht
14.01.2016 | VulDB Eintrag erstellt
14.01.2016 | VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2015-8607 (mitre.org) (nvd.nist.org) (cvedetails.com)

...

Externe Webseite mit kompletten Inhalt öffnen



http://www.scip.ch/?vuldb.80208

Team Security Social Media

Kommentiere zu PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte






➤ Weitere Beiträge von Team Security | IT Sicherheit

  • PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

    vom 4144.86 Punkte ic_school_black_18dp
    Allgemein scipID: 80208 Betroffen: PathTools bis 3.61 Veröffentlicht: 13.01.2016 Risiko: problematisch Erstellt: 14.01.2016 Eintrag: 66.2% komplett Beschreibung Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabe
  • PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

    vom 4144.86 Punkte ic_school_black_18dp
    Allgemein scipID: 80208 Betroffen: PathTools bis 3.61 Veröffentlicht: 13.01.2016 Risiko: problematisch Erstellt: 14.01.2016 Eintrag: 66.2% komplett Beschreibung Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabe
  • warning: file /usr/lib/node_modules/npm/scripts/index-build.js: remove failed: No such file or directory warning: file

    vom 630.01 Punkte ic_school_black_18dp
    Hello everyone , I have to update amazon linux server for partners, I encounter many warnings that there are no files or folders in nodejs like this, will it affect the system? , I think yum update has this warning because it didn't have any files or folde
  • Anno 1404 per wine wouldn't start

    vom 510.69 Punkte ic_school_black_18dp
    Hello, I'm not a very new Linux user nor am I very deep into the Unix system. I recently got a game that I'd like to play again and installed it via wine. Starting Anno 1404 I can see the ingame mouse for a second before it crashes. I run Manjaro Linux w
  • Privateloader Hacxx Mega Release 3 2020

    vom 286.08 Punkte ic_school_black_18dp
    Hacxx Agent + Uploader (RESEARCH)https://www.file-up.org/mzw2j0drgjfh grepWinhttps://www.file-up.org/1vs9dtnpalla/grepWin.exe IPTV Portugal 2020 .m3u8https://www.file-up.org/0u9an4xtlcyr/IPT..._2020.m3u8 PTC Coin Maker V1http://www.mediafire.com/file/v
  • Privateloader/Hacxx Mega Release 1 2020

    vom 191.72 Punkte ic_school_black_18dp
    [IP LOGGER] IP2Email Link Generator - Discover a user ip address remotelyhttp://www.mediafire.com/file/658bvnm6h4...erator.rar [Ready to import] xxx trailers & movies Blog in a WXR File (Wordpress file)http://www.mediafire.com/file/v9p9m2vwpn...-01-07.xml [Site] Encurtador de li
  • Seccomp Tools - Provide Powerful Tools For Seccomp Analysis

    vom 154.87 Punkte ic_school_black_18dp
    Provide powerful tools for seccomp analysis.This project is targeted to (but not limited to) analyze seccomp sandbox in CTF pwn challenges. Some features might be CTF-specific, but still useful for analyzing seccomp in real-case.Features Dump - Automaticall
  • HPR2948: Testing with Haskell

    vom 154.5 Punkte ic_school_black_18dp
    Intro I have liked writing automated tests for a long time, so it’s not a surprise that I end up writing them in Haskell too. This is very broad topic, so this episode only scratches the surface. HSpec HSpec is testing framework that automaticall
  • CSI: The case of the missing WAV audio files on the FAT32 SD Card

    vom 138.92 Punkte ic_school_black_18dp
    Buckle up kids, as this is a tale. As you may know, I have a lovely podcast at https://hanselminutes.com. You should listen. Recently through an number of super cool random events I got the opportunity to interview actor Chris Conner who plays Poe on Altered Carbon. I'm a big fan of the show but espe
  • Strelka - Scanning Files At Scale With Python And ZeroMQ

    vom 122.82 Punkte ic_school_black_18dp
    Strelka is a real-time file scanning system used for threat hunting, threat detection, and incident response. Based on the design established by Lockheed Martin's Laika BOSS and similar projects (see: related projects), Strelka's purpose is to perfor
  • Better template support and error detection in C++ Modules with MSVC 2017 version 15.9

    vom 122.01 Punkte ic_school_black_18dp
    Overview It has been a long time since we last talked about C++ Modules. We feel it is time to revisit what has been happening under the hood of MSVC for modules. The Visual C++ Team has been dedicated to pushing conformance to the standard 
  • Better template support and error detection in C++ Modules with MSVC 2017 version 15.9

    vom 122.01 Punkte ic_school_black_18dp
    Overview It has been a long time since we last talked about C++ Modules. We feel it is time to revisit what has been happening under the hood of MSVC for modules. The Visual C++ Team has been dedicated to pushing conformance to the standard