๐ IBM Security Network Protection bis 5.3.1.6 GSKit Credentials Information Disclosure
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80315
Betroffen: IBM Security Network Protection bis 5.3.1.6
Veröffentlicht: 18.01.2016
Risiko: problematisch
Erstellt: 19.01.2016
Eintrag: 66.8% komplett
Beschreibung
Eine Schwachstelle wurde in IBM Security Network Protection bis 5.3.1.6 ausgemacht. Sie wurde als problematisch eingestuft. Davon betroffen ist eine unbekannte Funktion der Komponente GSKit. Durch Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (Credentials) ausgenutzt werden. Die Auswirkungen sind bekannt für die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
GSKit in IBM Security Network Protection 5.3.1 before 5.3.1.7 and 5.3.2 allows remote attackers to discover credentials by triggering an MD5 collision.
Die Schwachstelle wurde am 18.01.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2016-0201 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.
Ein Aktualisieren auf die Version 5.3.1.7 vermag dieses Problem zu lösen.CVSS
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]
Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:ibm:security_network_protection:5.3.1.0
- cpe:/a:ibm:security_network_protection:5.3.1.1
- cpe:/a:ibm:security_network_protection:5.3.1.2
- cpe:/a:ibm:security_network_protection:5.3.1.3
- cpe:/a:ibm:security_network_protection:5.3.1.4
- cpe:/a:ibm:security_network_protection:5.3.1.5
- cpe:/a:ibm:security_network_protection:5.3.1.6
Exploiting
Klasse: Information Disclosure
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $5k-$10k (0-day) / $2k-$5k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Security Network Protection 5.3.1.7
Timeline
18.01.2016 | Advisory veröffentlicht
19.01.2016 | VulDB Eintrag erstellt
19.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-0201 (mitre.org) (nvd.nist.org) (cvedetails.com)
...