Symantecs Web-Administration stolpert über HTTP-Anfragen
Symantecs Web-Administration der Server-Antivirenlösungen kommt durch einen Fehler bei der Verarbeitung von manipulierten HTTP-Headern aus dem Tritt. Der dabei auftretende Pufferüberlauf könnte aus dem Netz ausgenutzt werden.
Symantecs Web-Administrationssoftware zu den Server-Antivirenlösungen des Herstellers für Drittanbieter ("Scan-Engine") kommt durch einen Fehler bei der Verarbeitung von manipulierten HTTP-Headern aus dem Tritt. Die Lücke ermöglicht potenziellen Angreifern das Einschleusen und Ausführen von Code über das Netz.
Das Webinterface der Administrationsschnittstelle lauscht in der Standardeinstellung auf dem Port 8004 auf eingehende Verbindungen. Durch die unangemessene Verwendung von vorzeichenbehafteten Integer-Variablen bei der Auswertung von HTTP-Headern können diese -- mit negativen Werten bestückt -- dazu führen, dass die Werte bei einer Speicheralloziierung als sehr große Zahl interpretiert werden. Dadurch kann der Scan-Engine-Dienst abstürzen oder Code eingeschleust werden.
Von der Lücke betroffen sind die Scan-Engine 4.0 und 4.3 in allen Produkten, die die Administrationsschnittstelle zur Verfügung stellen. Nicht betroffen ist Version 4.1.
Symantec empfiehlt in seinem Advisory das Einspielen der bereitstehenden Patches sowie die Beschränkung des Zugriffs auf den Server-Port 8004 auf vertrauenswürdige Rechner. Gegebenenfalls lässt sich das Webinterface auch deaktivieren, indem als Port '0' in die Konfiguration eingetragen wird.
Siehe dazu auch: (dmk)
- Security Advisory von Symantec
