NVD Vulnerability Detail

CVE-2016-2054

Summary	Multiple buffer overflows in xymond/xymond.c in xymond in Xymon 4.1.x, 4.2.x, and 4.3.x before 4.3.25 allow remote attackers to execute arbitrary code or cause a denial of service (daemon crash) via a long filename, involving handling a "config" command.
Publication Date	April 14, 2016, 1:59 a.m.
Registration Date	Jan. 26, 2021, 2:08 p.m.
Last Update	Nov. 21, 2024, 11:47 a.m.

CVSS3.0 : CRITICAL
スコア	9.8
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	高

CVSS2.0 : HIGH
Score	7.5
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:o:debian:debian_linux:8.0:::::::*

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:xymon:xymon:4.2:alfa::::::
cpe:2.3:a:xymon:xymon:4.3.0:rc1::::::
cpe:2.3:a:xymon:xymon:4.3.18:::::::*
cpe:2.3:a:xymon:xymon:4.3.13:::::::*
cpe:2.3:a:xymon:xymon:4.3.21:::::::*
cpe:2.3:a:xymon:xymon:4.3.8:::::::*
cpe:2.3:a:xymon:xymon:4.3.3:::::::*
cpe:2.3:a:xymon:xymon:4.1.1:::::::*
cpe:2.3:a:xymon:xymon:4.2:rc20060712::::::
cpe:2.3:a:xymon:xymon:4.2.2:rc1::::::
cpe:2.3:a:xymon:xymon:4.3.4:::::::*
cpe:2.3:a:xymon:xymon:4.3.17:::::::*
cpe:2.3:a:xymon:xymon:4.3.22:::::::*
cpe:2.3:a:xymon:xymon:4.2.2:::::::*
cpe:2.3:a:xymon:xymon:4.3.15:::::::*
cpe:2.3:a:xymon:xymon:4.3.14:::::::*
cpe:2.3:a:xymon:xymon:4.2.3:rc1::::::
cpe:2.3:a:xymon:xymon:4.3.0:::::::*
cpe:2.3:a:xymon:xymon:4.3.24:::::::*
cpe:2.3:a:xymon:xymon:4.3.20:::::::*
cpe:2.3:a:xymon:xymon:4.3.10:::::::*
cpe:2.3:a:xymon:xymon:4.2.3:::::::*
cpe:2.3:a:xymon:xymon:4.3.0:beta3::::::
cpe:2.3:a:xymon:xymon:4.3.1:::::::*
cpe:2.3:a:xymon:xymon:4.3.0:beta2::::::
cpe:2.3:a:xymon:xymon:4.1.0:::::::*
cpe:2.3:a:xymon:xymon:4.1.2:p1::::::
cpe:2.3:a:xymon:xymon:4.2:beta20060605::::::
cpe:2.3:a:xymon:xymon:4.3.7:::::::*
cpe:2.3:a:xymon:xymon:4.2.0:::::::*
cpe:2.3:a:xymon:xymon:4.3.11:::::::*
cpe:2.3:a:xymon:xymon:4.3.12:::::::*
cpe:2.3:a:xymon:xymon:4.3.5:::::::*
cpe:2.3:a:xymon:xymon:4.3.0:beta1::::::
cpe:2.3:a:xymon:xymon:4.3.16:::::::*
cpe:2.3:a:xymon:xymon:4.1.2:::::::*
cpe:2.3:a:xymon:xymon:4.1.2:p2::::::
cpe:2.3:a:xymon:xymon:4.3.6:::::::*
cpe:2.3:a:xymon:xymon:4.3.19:::::::*
cpe:2.3:a:xymon:xymon:4.3.23:::::::*
cpe:2.3:a:xymon:xymon:4.3.2:::::::*
cpe:2.3:a:xymon:xymon:4.3.19:rc1::::::
cpe:2.3:a:xymon:xymon:4.3.9:::::::*

Related information, measures and tools

No	URL	タグ
1	http://lists.xymon.com/archive/2016-February/042986.html	Vendor Advisory
2	http://lists.xymon.com/archive/2016-February/042986.html	Vendor Advisory
3	http://packetstormsecurity.com/files/135758/Xymon-4.3.x-Buffer-Overflow-Code-Execution-Information-Disclosure.html
4	http://packetstormsecurity.com/files/135758/Xymon-4.3.x-Buffer-Overflow-Code-Execution-Information-Disclosure.html
5	http://www.debian.org/security/2016/dsa-3495
6	http://www.debian.org/security/2016/dsa-3495
7	http://www.securityfocus.com/archive/1/537522/100/0/threaded
8	http://www.securityfocus.com/archive/1/537522/100/0/threaded
9	https://sourceforge.net/p/xymon/code/7859/	Patch
10	https://sourceforge.net/p/xymon/code/7859/	Patch
11	https://sourceforge.net/p/xymon/code/7860/	Patch
12	https://sourceforge.net/p/xymon/code/7860/	Patch

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-119	バッファエラー	https://cwe.mitre.org/data/definitions/118.html

JVN Vulnerability Information

Xymon の xymond の xymond/xymond.c におけるバッファオーバーフローの脆弱性

Title	Xymon の xymond の xymond/xymond.c におけるバッファオーバーフローの脆弱性
Summary	Xymon の xymond の xymond/xymond.c には、バッファオーバーフローの脆弱性が存在します。
Possible impacts	第三者により、"config" コマンドの処理に関して、過度に長いファイル名を介して、任意のコードを実行される、またはサービス運用妨害 (デーモンクラッシュ) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 8, 2016, midnight
Registration Date	April 19, 2016, 5:37 p.m.
Last Update	April 19, 2016, 5:37 p.m.

Affected System

Debian

Debian GNU/Linux 8.0

Xymon

Xymon 4.1.x

Xymon 4.2.x

Xymon 4.3.25 未満の 4.3.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-2054	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2054
National Vulnerability Database (NVD)
2	CVE-2016-2054	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2054

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html

ベンダー情報

No	Name	URL
Debian Security Advisory
1	DSA-3495	https://www.debian.org/security/2016/dsa-3495
SourceForge
2	Commit [r7859]	https://sourceforge.net/p/xymon/code/7859/
3	Commit [r7860]	https://sourceforge.net/p/xymon/code/7860/
Xymon
4	Xymon 4.3.25 - Important Security Update	http://lists.xymon.com/archive/2016-February/042986.html

Change Log

No	Changed Details	Date of change
0	[2016年04月19日] 掲載	Feb. 17, 2018, 10:37 a.m.

Configuration2	or higher	or less	more than	less than
cpe:2.3:a:xymon:xymon:4.2:alfa::::::
cpe:2.3:a:xymon:xymon:4.3.0:rc1::::::
cpe:2.3:a:xymon:xymon:4.3.18:::::::*
cpe:2.3:a:xymon:xymon:4.3.13:::::::*
cpe:2.3:a:xymon:xymon:4.3.21:::::::*
cpe:2.3:a:xymon:xymon:4.3.8:::::::*
cpe:2.3:a:xymon:xymon:4.3.3:::::::*
cpe:2.3:a:xymon:xymon:4.1.1:::::::*
cpe:2.3:a:xymon:xymon:4.2:rc20060712::::::
cpe:2.3:a:xymon:xymon:4.2.2:rc1::::::
cpe:2.3:a:xymon:xymon:4.3.4:::::::*
cpe:2.3:a:xymon:xymon:4.3.17:::::::*
cpe:2.3:a:xymon:xymon:4.3.22:::::::*
cpe:2.3:a:xymon:xymon:4.2.2:::::::*
cpe:2.3:a:xymon:xymon:4.3.15:::::::*
cpe:2.3:a:xymon:xymon:4.3.14:::::::*
cpe:2.3:a:xymon:xymon:4.2.3:rc1::::::
cpe:2.3:a:xymon:xymon:4.3.0:::::::*
cpe:2.3:a:xymon:xymon:4.3.24:::::::*
cpe:2.3:a:xymon:xymon:4.3.20:::::::*
cpe:2.3:a:xymon:xymon:4.3.10:::::::*
cpe:2.3:a:xymon:xymon:4.2.3:::::::*
cpe:2.3:a:xymon:xymon:4.3.0:beta3::::::
cpe:2.3:a:xymon:xymon:4.3.1:::::::*
cpe:2.3:a:xymon:xymon:4.3.0:beta2::::::
cpe:2.3:a:xymon:xymon:4.1.0:::::::*
cpe:2.3:a:xymon:xymon:4.1.2:p1::::::
cpe:2.3:a:xymon:xymon:4.2:beta20060605::::::
cpe:2.3:a:xymon:xymon:4.3.7:::::::*
cpe:2.3:a:xymon:xymon:4.2.0:::::::*
cpe:2.3:a:xymon:xymon:4.3.11:::::::*
cpe:2.3:a:xymon:xymon:4.3.12:::::::*
cpe:2.3:a:xymon:xymon:4.3.5:::::::*
cpe:2.3:a:xymon:xymon:4.3.0:beta1::::::
cpe:2.3:a:xymon:xymon:4.3.16:::::::*
cpe:2.3:a:xymon:xymon:4.1.2:::::::*
cpe:2.3:a:xymon:xymon:4.1.2:p2::::::
cpe:2.3:a:xymon:xymon:4.3.6:::::::*
cpe:2.3:a:xymon:xymon:4.3.19:::::::*
cpe:2.3:a:xymon:xymon:4.3.23:::::::*
cpe:2.3:a:xymon:xymon:4.3.2:::::::*
cpe:2.3:a:xymon:xymon:4.3.19:rc1::::::
cpe:2.3:a:xymon:xymon:4.3.9:::::::*