📚 PHP bis 7.1.5 Zend/zend_string.h zend_string_extend Negative Length Denial of Service
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
Eine problematische Schwachstelle wurde in PHP bis 7.1.5 entdeckt. Es geht hierbei um die Funktion zend_string_extend
der Datei Zend/zend_string.h. Mittels dem Manipulieren durch Negative Length kann eine Denial of Service-Schwachstelle (Crash) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-404. Das hat Auswirkungen auf die Verfügbarkeit.
Die Schwachstelle wurde am 12.05.2017 veröffentlicht. Die Identifikation der Schwachstelle findet seit dem 12.05.2017 als CVE-2017-8923 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 05/13/2017).
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
CVSSv3
VulDB Base Score: 5.3VulDB Temp Score: 5.3
VulDB Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:X/RL:X/RC:X
VulDB Zuverlässigkeit: High
CVSSv2
VulDB Base Score: 4.3 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P)VulDB Temp Score: 4.3 (CVSS2#E:ND/RL:ND/RC:ND)
VulDB Zuverlässigkeit: High
CPE
- cpe:/a:php:php:7.1.0
- cpe:/a:php:php:7.1.1
- cpe:/a:php:php:7.1.2
- cpe:/a:php:php:7.1.3
- cpe:/a:php:php:7.1.4
- cpe:/a:php:php:7.1.5
Exploiting
Klasse: Denial of Service / Crash (CWE-404)Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)
Gegenmassnahmen
Empfehlung: keine Massnahme bekannt0-Day Time: 0 Tage seit gefunden
Timeline
12.05.2017 Advisory veröffentlicht12.05.2017 CVE zugewiesen
13.05.2017 VulDB Eintrag erstellt
13.05.2017 VulDB letzte Aktualisierung
Quellen
CVE: CVE-2017-8923 (mitre.org) (nvd.nist.org) (cvedetails.com)
Eintrag
Erstellt: 13.05.2017Aktualisierung: 13.05.2017
Eintrag: 70.4% komplett
...