Уязвимость BDU:2017-02482

Дата: 24.02.2016. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2017-02482.

Наименование уязвимости: Уязвимость веб-сервера маршрутизаторов D-Link, позволяющая нарушителю оказать воздействие на работу устройства.

Описание уязвимости: Уязвимость микропрограммного обеспечения маршрутизатора D-Link связана с переполнением буфера. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации с помощью специально сформированного параметра cookie-файла dlink_uid
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-link DAP-2690 до 3.15 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-link DAP-3662 до 1.01 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-link DAP-2330 до 1.06 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-link DAP-2360 до 2.06 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-Link DAP-2310 до 2.06 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-Link DAP-2660 до 1.11 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-Link DAP-2553 до 3.05 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-Link DAP-3320 до 1 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-Link DAP-2695 до 1.16 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. D-Link DAP-2230 до 1.02 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 24.02.2016.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций: http://www.dlink.com/mk/mk/support/support-news/2016/march/16/firmadyne-cve_2016_1558-cve_2016_1559
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2016-1558.
Прочая информация:
Тип ошибки CWE: CWE-119
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://packetstormsecurity.com/files/135956/D-Link-Netgear-FIRMADYNE-Command-Injection-Buffer-Overflow.html
http://seclists.org/fulldisclosure/2016/Feb/112
http://www.dlink.com/mk/mk/support/support-news/2016/march/16/firmadyne-cve_2016_1558-cve_2016_1559

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *