๐ FreeBSD 9.3/10.1 Linux Futex Robust List Handler Information Disclosure
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 80317
Betroffen: FreeBSD 9.3/10.1
Veröffentlicht: 14.01.2016
Risiko: problematisch
Erstellt: 19.01.2016
Eintrag: 70.8% komplett
Beschreibung
In FreeBSD 9.3/10.1 wurde eine problematische Schwachstelle entdeckt. Betroffen ist eine unbekannte Funktion der Komponente Linux Futex Robust List Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 14.01.2016 als FreeBSD-SA-16:03.linux in Form eines bestätigten Advisories (Website) öffentlich gemacht. Bereitgestellt wird das Advisory unter security.freebsd.org. Die Verwundbarkeit wird seit dem 13.01.2016 als CVE-2016-1880 geführt. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff muss lokal angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Die Entwickler haben demnach sofort gehandelt. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (109642) dokumentiert.CVSS
Base Score: 4.6 (CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P) [?]
Temp Score: 3.4 (CVSS2#E:U/RL:OF/RC:C) [?]
CPE
Exploiting
Klasse: Information Disclosure
Lokal: Ja
Remote: Nein
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $5k-$10k (0-day) / $1k-$2k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Timeline
13.01.2016 | CVE zugewiesen
14.01.2016 | Advisory veröffentlicht
14.01.2016 | Gegenmassnahme veröffentlicht
19.01.2016 | VulDB Eintrag erstellt
19.01.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: FreeBSD-SA-16:03.linux
Status: Bestätigt
CVE: CVE-2016-1880 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 109642 – FreeBSD Linux futex robust lists information disclosure
...