7.5 CVE-2020-11653

Privilege Escalation RCE Injection SQL Buffer Overflow RCI XSS Ransomware Risk

 

Ein Problem wurde in Varnish Cache vor 6.0.6 LTS, 6.1.x und 6.2.x vor 6.2.3 und 6.3.x vor 6.3.2 entdeckt. Es tritt auf, wenn die Kommunikation mit einem TLS-Beendigungsproxy PROXY Version 2 verwendet. Es kann zu einem Assertion-Fehler und einem Neustart des Daemons kommen, was einen Leistungsverlust verursacht.
https://nvd.nist.gov/vuln/detail/CVE-2020-11653

Kategorien

CWE-617 : Erreichbare Assertion
Das Produkt enthält eine assert()- oder ähnliche Anweisung, die von einem Angreifer ausgelöst werden kann, was zu einem Beenden der Anwendung oder einem anderen Verhalten führt, das schwerwiegender ist als nötig. Machen Sie sensible Öffnungs-/Schließvorgänge nicht durch direkt vom Benutzer kontrollierte Daten erreichbar (z. B. Öffnen/Schließen von Ressourcen) Führen Sie eine Eingabevalidierung für Benutzerdaten durch. FTP-Server ermöglicht entfernten Angreifern, einen Denial-of-Service (Daemon-Abbruch) über manipulierte Befehle zu verursachen, die einen Assertion-Fehler auslösen. Chat-Client ermöglicht entfernten Angreifern, einen Denial-of-Service (Absturz) über eine lange Nachrichtenzeichenkette bei der Verbindung mit einem Server zu verursachen, was einen Assertion-Fehler auslöst. Produkt erlaubt entfernten Angreifern, einen Denial-of-Service (Daemonabsturz) über LDAP-BIND-Anfragen mit langen authcid-Namen zu verursachen, was einen Assertion-Fehler auslöst. Das Produkt ermöglicht entfernten Angreifern, eine Dienstverweigerung (Absturz) über bestimmte Abfragen zu verursachen, die einen Assertion-Fehler auslösen. Chain: Das Sicherheitsüberwachungsprodukt weist einen Off-by-One-Fehler auf, der zu unerwarteten Längenwerten führt und eine Assertion auslöst.

Referenzen

MISC

SUSE

openSUSE-SU-2020:0819
Mailing List Third Party Advisory
openSUSE-SU-2020:0808
Mailing List Third Party Advisory

_MLIST


 

CPE

cpe start ende
Configuration 1
cpe:2.3:a:varnish-cache:varnish_cache:*:*:*:*:-:*:*:* >= 6.3.0 < 6.3.2
cpe:2.3:a:varnish-cache:varnish_cache:*:*:*:*:-:*:*:* >= 6.1.0 < 6.2.3
cpe:2.3:a:varnish-software:varnish_cache:*:*:*:*:lts:*:*:* >= 6.0.0 < 6.0.6
Configuration 2
cpe:2.3:o:opensuse:leap:15.1:*:*:*:*:*:*:*
cpe:2.3:a:opensuse:backports_sle:15.0:sp1:*:*:*:*:*:*
Configuration 3
cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*

Exploits

Exploit-db.com
id beschreibung datum
Keine bekannten Exploits
Andere (github, ...)
Url
Keine bekannten Exploits

CAPEC

id beschreibung schweregrad
Kein Eintrag

Sherlock® flash

Machen Sie mit wenigen Klicks ein Foto von Ihrem Computernetzwerk !

Mit der Sherlock® flash Audit-Lösung können Sie ein Audit durchführen, um die Sicherheit Ihres Computerbestands zu erhöhen. Scannen Sie Ihre physischen und virtuellen Geräte auf Schwachstellen. Planung von Patches nach Priorität und verfügbarer Zeit. Detaillierte und intuitive Berichte.

Entdecke dieses Angebot

Sherlock® flash: Erste Lösung für sofortige Cybersicherheitsprüfung