🏠 Team IT Security News

TSecurity.de ist eine Online-Plattform, die sich auf die Bereitstellung von Informationen,alle 15 Minuten neuste Nachrichten, Bildungsressourcen und Dienstleistungen rund um das Thema IT-Sicherheit spezialisiert hat.
Ob es sich um aktuelle Nachrichten, Fachartikel, Blogbeiträge, Webinare, Tutorials, oder Tipps & Tricks handelt, TSecurity.de bietet seinen Nutzern einen umfassenden Überblick über die wichtigsten Aspekte der IT-Sicherheit in einer sich ständig verändernden digitalen Welt.

16.12.2023 - TIP: Wer den Cookie Consent Banner akzeptiert, kann z.B. von Englisch nach Deutsch übersetzen, erst Englisch auswählen dann wieder Deutsch!

Google Android Playstore Download Button für Team IT Security

800+ IT News als RSS Feed abonnieren

Thema auswählen:

📚 PHP bis 7.1.5 Zend/zend_string.h zend_string_extend Negative Length Denial of Service

🕛 Zeit seit Veröffentlichung: 2521 Tage, 8 Stunden 54 Minuten
📆 Veröffentlicht am: 12.05.2017 um 00:00 Uhr
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com

Eine problematische Schwachstelle wurde in PHP bis 7.1.5 entdeckt. Es geht hierbei um die Funktion zend_string_extend der Datei Zend/zend_string.h. Mittels dem Manipulieren durch Negative Length kann eine Denial of Service-Schwachstelle (Crash) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-404. Das hat Auswirkungen auf die Verfügbarkeit.

Die Schwachstelle wurde am 12.05.2017 veröffentlicht. Die Identifikation der Schwachstelle findet seit dem 12.05.2017 als CVE-2017-8923 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 05/13/2017).

Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.

CVSSv3

VulDB Base Score: 5.3
VulDB Temp Score: 5.3
VulDB Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:X/RL:X/RC:X
VulDB Zuverlässigkeit: High

CVSSv2

VulDB Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P)
VulDB Temp Score: 4.3 (CVSS2#E:ND/RL:ND/RC:ND)
VulDB Zuverlässigkeit: High

CPE

Exploiting

Klasse: Denial of Service / Crash (CWE-404)
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: keine Massnahme bekannt
0-Day Time: 0 Tage seit gefunden

Timeline

12.05.2017 Advisory veröffentlicht
12.05.2017 CVE zugewiesen
13.05.2017 VulDB Eintrag erstellt
13.05.2017 VulDB letzte Aktualisierung

Quellen

CVE: CVE-2017-8923 (mitre.org) (nvd.nist.org) (cvedetails.com)

Eintrag

Erstellt: 13.05.2017
Aktualisierung: 13.05.2017
Eintrag: 70.4% komplett
...