1. Reverse Engineering >
  2. Sicherheitslücken >
  3. PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte


Exploits vom | Direktlink: scip.ch Nachrichten Bewertung

Allgemein

scipID: 80208
Betroffen: PathTools bis 3.61
Veröffentlicht: 13.01.2016
Risiko: problematisch

Erstellt: 14.01.2016
Eintrag: 66.2% komplett

Beschreibung

Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabei betrifft es die Funktion canonpath der Komponente File::Spec Module. Durch das Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Taint) ausgenutzt werden. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The canonpath function in the File::Spec module in PathTools before 3.62, as used in Perl, does not properly preserve the taint attribute of data, which might allow context-dependent attackers to bypass the taint protection mechanism via a crafted string.

Die Schwachstelle wurde am 13.01.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-8607 geführt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 3.62 vermag dieses Problem zu beheben.

CVSS

Base Score: 4.1 (CVSS2#AV:A/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 3.6 (CVSS2#E:ND/RL:OF/RC:ND) [?]

CPE

Exploiting

Klasse: Erweiterte Rechte
Lokal: Ja
Remote: Nein

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: PathTools 3.62

Timeline

13.01.2016 | Advisory veröffentlicht
14.01.2016 | VulDB Eintrag erstellt
14.01.2016 | VulDB Eintrag aktualisiert

Quellen

CVE: CVE-2015-8607 (mitre.org) (nvd.nist.org) (cvedetails.com)

...
http://www.scip.ch/?vuldb.80208

Externe Quelle mit kompletten Inhalt anzeigen


Zur Startseite von Team IT Security

Kommentiere zu PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte






➤ Weitere Beiträge von Team Security | IT Sicherheit

PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

vom 4290.97 Punkte ic_school_black_18dp
Allgemein scipID: 80208 Betroffen: PathTools bis 3.61 Veröffentlicht: 13.01.2016 Risiko: problematisch Erstellt: 14.01.2016 Eintrag: 66.2% komplett Beschreibung Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabe

PathTools bis 3.61 File::Spec Module canonpath erweiterte Rechte

vom 4290.97 Punkte ic_school_black_18dp
Allgemein scipID: 80208 Betroffen: PathTools bis 3.61 Veröffentlicht: 13.01.2016 Risiko: problematisch Erstellt: 14.01.2016 Eintrag: 66.2% komplett Beschreibung Es wurde eine problematische Schwachstelle in PathTools bis 3.61 entdeckt. Dabe

warning: file /usr/lib/node_modules/npm/scripts/index-build.js: remove failed: No such file or directory warning: file

vom 692.36 Punkte ic_school_black_18dp
Hello everyone , I have to update amazon linux server for partners, I encounter many warnings that there are no files or folders in nodejs like this, will it affect the system? , I think yum update has this warning because it didn't have any files or folde

Anno 1404 per wine wouldn't start

vom 534.92 Punkte ic_school_black_18dp
Hello, I'm not a very new Linux user nor am I very deep into the Unix system. I recently got a game that I'd like to play again and installed it via wine. Starting Anno 1404 I can see the ingame mouse for a second before it crashes. I run Manjaro Linux w

Privateloader Hacxx Mega Release 3 2020

vom 315.45 Punkte ic_school_black_18dp
Hacxx Agent + Uploader (RESEARCH)https://www.file-up.org/mzw2j0drgjfh grepWinhttps://www.file-up.org/1vs9dtnpalla/grepWin.exe IPTV Portugal 2020 .m3u8https://www.file-up.org/0u9an4xtlcyr/IPT..._2020.m3u8 PTC Coin Maker V1http://www.mediafire.com/file/v

DevTools architecture refresh: Migrating to JavaScript modules

vom 267.59 Punkte ic_school_black_18dp
DevTools architecture refresh: Migrating to JavaScript modules As you might know, Chrome DevTools is a web application written using HTML, CSS and JavaScript. Over the years, DevTools has gotten more feature-rich, smarter and knowledgeable about the broader web platform. While DevTools h

Privateloader/Hacxx Mega Release 1 2020

vom 211.4 Punkte ic_school_black_18dp
[IP LOGGER] IP2Email Link Generator - Discover a user ip address remotelyhttp://www.mediafire.com/file/658bvnm6h4...erator.rar [Ready to import] xxx trailers & movies Blog in a WXR File (Wordpress file)http://www.mediafire.com/file/v9p9m2vwpn...-01-07.xml [Site] Encurtador de li

Seccomp Tools - Provide Powerful Tools For Seccomp Analysis

vom 160.65 Punkte ic_school_black_18dp
Provide powerful tools for seccomp analysis.This project is targeted to (but not limited to) analyze seccomp sandbox in CTF pwn challenges. Some features might be CTF-specific, but still useful for analyzing seccomp in real-case.Features Dump - Automaticall

HPR2948: Testing with Haskell

vom 158.68 Punkte ic_school_black_18dp
Intro I have liked writing automated tests for a long time, so it’s not a surprise that I end up writing them in Haskell too. This is very broad topic, so this episode only scratches the surface. HSpec HSpec is testing framework that automaticall

CSI: The case of the missing WAV audio files on the FAT32 SD Card

vom 151.63 Punkte ic_school_black_18dp
Buckle up kids, as this is a tale. As you may know, I have a lovely podcast at https://hanselminutes.com. You should listen. Recently through an number of super cool random events I got the opportunity to interview actor Chris Conner who plays Poe on Altered Carbon. I'm a big fan of the show but espe

Mistica - An Open Source Swiss Army Knife For Arbitrary Communication Over Application Protocols

vom 147.7 Punkte ic_school_black_18dp
Mística is a tool that allows to embed data into application layer protocol fields, with the goal of establishing a bi-directional channel for arbitrary communications. Currently, encapsulation into HTTP, DNS and ICMP protocols has been implemented, b

Strelka - Scanning Files At Scale With Python And ZeroMQ

vom 135.43 Punkte ic_school_black_18dp
Strelka is a real-time file scanning system used for threat hunting, threat detection, and incident response. Based on the design established by Lockheed Martin's Laika BOSS and similar projects (see: related projects), Strelka's purpose is to perfor