2.1 CVE-2011-4132

Exploit Privilege Escalation RCE Injection SQL Buffer Overflow RCI XSS Ransomware Risk
 

La funzione cleanup_journal_tail nella funzionalità Journaling Block Device (JBD) del kernel Linux 2.6 consente agli utenti locali di causare un denial of service (errore di asserzione e kernel oops) tramite un'immagine ext3 o ext4 con un valore "invalid log first block".
https://nvd.nist.gov/vuln/detail/CVE-2011-4132

Categorie

CWE-20 : Convalida dell'input improprio

Riferimenti


 

CPE

cpe avviare fine
Configuration 1
cpe:2.3:o:linux:linux_kernel:2.6:*:*:*:*:*:*:*
Configuration 2
cpe:2.3:o:suse:linux_enterprise_server:10:sp4:*:*:*:*:*:*


RIMEDIO




EXPLOITS


Exploit-db.com

id descrizione data
Nessuna impresa nota

Altro (github, ...)

Url
http://xorl.wordpress.com/2011/12/08/cve-2011-4132-linux-kernel-jbdjbd2-local-dos/


CAPEC


Common Attack Pattern Enumerations and Classifications

id descrizione gravità
10 Buffer Overflow tramite variabili d'ambiente
Alto
101 Iniezione Server Side Include (SSI)
Alto
104 Cross Zone Scripting
Alto
108 Esecuzione della riga di comando tramite SQL Injection
Molto alto
109 Iniezione di mappatura relazionale degli oggetti
Alto
110 Iniezione SQL attraverso la manomissione dei parametri SOAP
Molto alto
120 Codifica doppia
Media
13 Sovvertire i valori delle variabili d'ambiente
Molto alto
135 Iniezione di stringhe di formato
Alto
136 Iniezione LDAP
Alto
14 Overflow del buffer indotto da iniezione lato client
Alto
153 Manipolazione dei dati di input
Media
182 Iniezione flash
Media
209 XSS Utilizzo mancata corrispondenza del tipo MIME
Media
22 Sfruttare la fiducia nel cliente
Alto
23 File Content Injection
Molto alto
230 Dati serializzati con carichi annidati
Alto
231 Carichi di dati serializzati sovradimensionati
Alto
24 Guasto del filtro per overflow del buffer
Alto
250
261 Fuzzing per raccogliere altri dati utente/sensibili adiacenti
Media
267 Sfruttare la codifica alternativa
Alto
28 Fuzzing
Media
3 Usare sequenze di caratteri "fantasma" per bypassare i filtri d'ingresso
Media
31 Accedere/intercettare/modificare i cookie HTTP
Alto
42 Conversione MIME
Alto
43 Sfruttare i livelli multipli di interpretazione dell'input
Alto
45 Overflow del buffer tramite collegamenti simbolici
Alto
46 Variabili e tag di overflow
Alto
47 Overflow del buffer tramite espansione dei parametri
Alto
473 Signature Spoof
52 Inclusione di byte NULL
Alto
53 Postfix, Null Terminate e Backslash
Alto
588 XSS basato su DOM
Molto alto
63 Cross-Site Scripting (XSS)
Molto alto
64 Usare gli slash e la codifica dell'URL combinati per aggirare la logica di convalida
Alto
664 Falsificazione delle richieste lato server
Alto
67 Overflow del formato stringa in syslog()
Molto alto
7 Iniezione SQL cieca
Alto
71 Usare la codifica Unicode per aggirare la logica di convalida
Alto
72 Codifica dell'URL
Alto
73 Nome file controllato dall'utente
Alto
78 Usare gli slash sfuggiti nella codifica alternativa
Alto
79 Usare gli slash nella codifica alternativa
Alto
8 Buffer Overflow in una chiamata API
Alto
80 Usare la codifica UTF-8 per aggirare la logica di validazione
Alto
81
Alto
83 Iniezione XPath
Alto
85 Impronta AJAX
Debole
88 Iniezione di comandi del sistema operativo
Alto
9 Buffer Overflow nelle utilità della riga di comando locali
Alto


MITRE


Tecniche

id descrizione
T1027 File o informazioni offuscate
T1036.001 Masquerading: Firma del codice non valida
T1539 Rubare il cookie di sessione web
T1553.002 Sovvertimento dei controlli di fiducia: firma del codice
T1562.003 Riduzione delle difese: riduzione della registrazione della cronologia dei comandi
T1574.006 Flusso di esecuzione del dirottamento: dirottamento del linker dinamico
T1574.007 Flusso di esecuzione dell'hijack: intercettazione del percorso tramite la variabile d'ambiente PATH
© 2022 The MITRE Corporation. Questo lavoro è riprodotto e distribuito con il permesso di The MITRE Corporation.

Mitigazioni

id descrizione
T1027 Su Windows 10, attivare le regole di riduzione della superficie di attacco (ASR) per impedire l'esecuzione di payload potenzialmente offuscati.
T1036.001 Richiedere binari firmati.
T1539 Addestrare gli utenti a identificare gli aspetti dei tentativi di phishing in cui viene chiesto di inserire le credenziali in un sito che ha un dominio errato per l'applicazione a cui si sta accedendo.
T1562.003 Assicurarsi che la variabile d'ambiente <code>HISTCONTROL</code> sia impostata su "ignoredups" anziché su "ignoreboth" o "ignorespace".
T1574.006 Quando System Integrity Protection (SIP) è abilitato in macOS, le suddette variabili d'ambiente vengono ignorate durante l'esecuzione di binari protetti. Anche le applicazioni di terze parti possono sfruttare l'Hardened Runtime di Apple, garantendo che queste variabili d'ambiente siano soggette a restrizioni imposte. Gli amministratori possono aggiungere restrizioni alle applicazioni impostando i bit setuid e/o setgid, utilizzare i diritti o avere un segmento __RESTRICT nel binario Mach-O.
T1574.007
© 2022 The MITRE Corporation. Questo lavoro è riprodotto e distribuito con il permesso di The MITRE Corporation.