Podatność CVE-2014-2885

Podatność CVE-2014-2885

Publikacja: 2018-03-19

Opis:

Multiple integer overflows in TrueCrypt 7.1a allow local users to (1) obtain sensitive information via vectors involving a crafted item->OriginalLength value in the MainThreadProc function in EncryptedIoQueue.c or (2) cause a denial of service (memory consumption) via vectors involving large StartingOffset and Length values in the ProcessVolumeDeviceControlIrp function in Ntdriver.c.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:

	Tytuł	Autor	Data
High	TrueCrypt Multiple Vulnerabilities	iSEC	14.04.2014

Typ:

CWE-400

(Uncontrolled Resource Consumption ('Resource Exhaustion'))

CVSS2 => (AV:L/AC:L/Au:N/C:P/I:N/A:P)

Ogólna skala CVSS	Znaczenie	Łatwość wykorzystania
3.6/10	4.9/10	3.9/10

Wymagany dostęp	Złożoność ataku	Autoryzacja
Lokalny	Niska	Nie wymagana
Wpływ na poufność	Wpływ na integralność	Wpływ na dostępność
Częściowy	Brak	Częściowy

Affected software
Truecrypt project -> Truecrypt

Referencje:

http://www.openwall.com/lists/oss-security/2014/04/17/7

https://opencryptoaudit.org/reports/iSec_Final_Open_Crypto_Audit_Project_TrueCrypt_Security_Assessment.pdf

Copyright 2024, cxsecurity.com