Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2017-02241

CVSS: 7.8

12.09.2017

Уязвимость модуля SOAP WSDL Parser (Web Services Description Language) программной платформы Microsoft .NET Framework, позволяющая нарушителю выполнить произвольный код

Уязвимость в методе IsValidUrl модуля SOAP WSDL Parser программной платформы Microsoft .NET Framework существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально подготовленного документа

Статус уязвимости:	Подтверждена производителем Уязвимость устранена
Дата выявления:	12.09.2017
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Инъекция
Способ устранения:	Нет данных
Меры по устранению:	Использование рекомендаций: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-93	CWE-93 CRLF Injection

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2017-8759	Microsoft .NET Framework 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2 and 4.7 allow an attacker to execute code remotely via a m...

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
9.3	HIGH	2.0	AV:N/AC:M/Au:N/C:C/I:C/A:C
7.8	HIGH	3.0	AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Идентификаторы других систем описаний уязвимостей

CVE-2017-8759 Security Tracker ID:1039324 Exploit Database ID:42711 BID ID:100742

Вендор:	Microsoft Corp.
Тип ПО:	ПО виртуализации/ПО виртуального программно-аппаратного средства
Наименование ПО:	Microsoft .NET Framework
Версия ПО:	3.5 (Microsoft .NET Framework) 3.5.1 (Microsoft .NET Framework) 4.5.2 (Microsoft .NET Framework) 4.6 (Microsoft .NET Framework) 4.6.1 (Microsoft .NET Framework) 2.0 (Microsoft .NET Framework) 4.7 (Microsoft .NET Framework) 4.6.2 (Microsoft .NET Framework)
ОС и аппаратные платформы:	Windows (от 7)
Ссылки на источники:	https://www.fireeye.com/blog/threat-research/2017/09/zero-day-used-to-distribute-finspy.html http://www.securityfocus.com/bid/100742 http://www.securitytracker.com/id/1039324 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8759 https://www.exploit-db.com/exploits/42711/

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2017-02241