VulDB: libpng bis 1.5.11 erweiterte Zugriffsrechte
Allgemein
scipID: 5666
Betroffen: libpng bis 1.5.11
Veröffentlicht: 11.07.2012
Risiko: 
problematisch
Eintrag: 83.6% komplett
Erstellt: 23.07.2012
Aktualisiert: 03.09.2012
Beschreibung
Eine Schwachstelle wurde in libpng bis 1.5.11 gefunden. Sie wurde als problematisch eingestuft. Es geht hierbei um eine unbekannte Funktion in der Bibliothek libpng. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Zugriffsrechte-Schwachstelle ausgenutzt werden. Damit lässt sich erweiterte Rechte erlangen. Dies wirkt sich aus auf Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 11.07.2012 als 1.5.12 in Form eines Changelog Entrys (Website) veröffentlicht. Auf freecode.com kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet seit dem 14.06.2012 als CVE-2012-3386 statt. Der Angriff muss lokal passieren. Das Angehen einer einfachen Authentisierung ist erforderlich, um eine Ausnutzung anzugehen. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt.
Es wurde sofort nach dem Advisory ein Exploit veröffentlicht.
Ein Upgrade auf die Version 1.5.12 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah sofort nach der Veröffentlichung der Schwachstelle. Die Entwickler haben so unmittelbar reagiert. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von OSVDB (83763) dokumentiert.CVSS
Base Score: 3.0 (CVSS2#AV:L/AC:M/Au:S/C:P/I:P/A:N) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:libpng:libpng:1.5.11
Exploiting
Klasse: Erweiterte Zugriffsrechte
Auswirkungen: erweiterte Rechte erlangen
Lokal: Ja
Remote: Nein
Verfügbarkeit: Ja
Zugang: öffentlich
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Exploit Delay Time: 0 Tage seit bekannt
Upgrade: libpng 1.5.12
Timeline
14.06.2012 | CVE zugewiesen
11.07.2012 | Advisory veröffentlicht
11.07.2012 | Exploit veröffentlicht
11.07.2012 | Gegenmassnahme veröffentlicht
12.07.2012 | OSVDB Eintrag erstellt
23.07.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: 1.5.12
OSVDB: 83763
CVE: CVE-2012-3386 (mitre.org) (nist.org) (cvedetails.com)
