CVE-2010-3332
Notifications pour un CVE
Restez informé de toutes modifications pour un CVE spécifique.
Descriptions du CVE
Microsoft .NET Framework 1.1 SP1, 2.0 SP1 and SP2, 3.5, 3.5 SP1, 3.5.1, and 4.0, as used for ASP.NET in Microsoft Internet Information Services (IIS), provides detailed error codes during decryption attempts, which allows remote attackers to decrypt and modify encrypted View State (aka __VIEWSTATE) form data, and possibly forge cookies or read application files, via a padding oracle attack, aka "ASP.NET Padding Oracle Vulnerability."
Informations du CVE
Faiblesses connexes
| Nom de la faiblesse | Source | |
|---|---|---|
| Generation of Error Message Containing Sensitive Information The product generates an error message that includes sensitive information about its environment, users, or associated data. |
Métriques
| Métriques | Score | Gravité | CVSS Vecteur | Source |
|---|---|---|---|---|
| V2 | 6.4 | AV:N/AC:L/Au:N/C:P/I:P/A:N | nvd@nist.gov |
EPSS
EPSS est un modèle de notation qui prédit la probabilité qu'une vulnérabilité soit exploitée.
Score EPSS
Le modèle EPSS produit un score de probabilité compris entre 0 et 1 (0 et 100 %). Plus la note est élevée, plus la probabilité qu'une vulnérabilité soit exploitée est grande.
Percentile EPSS
Le percentile est utilisé pour classer les CVE en fonction de leur score EPSS. Par exemple, une CVE dans le 95e percentile selon son score EPSS est plus susceptible d'être exploitée que 95 % des autres CVE. Ainsi, le percentile sert à comparer le score EPSS d'une CVE par rapport à d'autres CVE.
Informations sur l'Exploit
Exploit Database EDB-ID : 15213
Date de publication : 2010-10-05 22h00 +00:00
Auteur : Giorgio Fedon
EDB Vérifié : Yes
Exploit Database EDB-ID : 15265
Date de publication : 2010-10-16 22h00 +00:00
Auteur : Agustin Azubel
EDB Vérifié : Yes
Exploit Database EDB-ID : 15292
Date de publication : 2010-10-19 22h00 +00:00
Auteur : Agustin Azubel
EDB Vérifié : Yes
Products Mentioned
Configuraton 0
Microsoft>>.net_framework >> Version 1.1
Microsoft>>.net_framework >> Version 2.0
Microsoft>>.net_framework >> Version 2.0
Microsoft>>.net_framework >> Version 3.5
Microsoft>>.net_framework >> Version 3.5
Microsoft>>.net_framework >> Version 3.5.1
Microsoft>>.net_framework >> Version 4.0
Microsoft>>Internet_information_services >> Version -
Références
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A12365
Tags : vdb-entry, signature, x_refsource_OVAL
Tags : vdb-entry, signature, x_refsource_OVAL
http://www.dotnetnuke.com/Community/Blogs/tabid/825/EntryId/2799/Oracle-Padding-Vulnerability-in-ASP-NET.aspx
Tags : x_refsource_MISC
Tags : x_refsource_MISC
http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx
Tags : x_refsource_CONFIRM
Tags : x_refsource_CONFIRM
http://www.troyhunt.com/2010/09/fear-uncertainty-and-and-padding-oracle.html
Tags : x_refsource_MISC
Tags : x_refsource_MISC
http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx
Tags : x_refsource_CONFIRM
Tags : x_refsource_CONFIRM
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2010/ms10-070
Tags : vendor-advisory, x_refsource_MS
Tags : vendor-advisory, x_refsource_MS
http://www.theinquirer.net/inquirer/news/1732956/security-researchers-destroy-microsoft-aspnet-security
Tags : x_refsource_MISC
Tags : x_refsource_MISC
http://threatpost.com/en_us/blogs/new-crypto-attack-affects-millions-aspnet-apps-091310
Tags : x_refsource_MISC
Tags : x_refsource_MISC
http://pentonizer.com/general-programming/aspnet-poet-vulnerability-what-else-can-i-do/
Tags : x_refsource_MISC
Tags : x_refsource_MISC
