Podatność CVE-2014-4883
Publikacja: 2014-11-27   Modyfikacja: 2014-11-28

Opis:
resolv.c in the DNS resolver in uIP, and dns.c in the DNS resolver in lwIP 1.4.1 and earlier, does not use random values for ID fields and source ports of DNS query packets, which makes it easier for man-in-the-middle attackers to conduct cache-poisoning attacks via spoofed reply packets.

Typ:

CWE-345

 (Insufficient Verification of Data Authenticity)

CVSS2 => (AV:N/AC:M/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.3/10
2.9/10
8.6/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Lwip project -> LWIP 
Iwip project -> IWIP 

 Referencje:
http://www.kb.cert.org/vuls/id/210620
http://git.savannah.gnu.org/cgit/lwip.git/commit/?id=9fb46e120655ac481b2af8f865d5ae56c39b831a
Copyright 2024, cxsecurity.com

 

Back to Top