Pufferüberlauf in CAs Alarmierungsdienst
CA liefert mit mehreren Produkten einen Alert Notification Server aus, der im lokalen Netz erreichbar ist und in dem Schwachstellen dazu führen, dass Angreifer Schadcode ausführen können.
Der Alert Notification Server alert.exe, der zu mehreren CA-Produkten gehört, enthält Sicherheitslücken, durch die Angreifer fremden Code einschleusen und mit SYSTEM-Rechten ausführen können. Laut des Fehlerberichts von iDefense registriert der Server eine RPC-Schnittstelle und ist dadurch im lokalen Netzwerk erreichbar.
In mehreren RPC-Funktionen des Servers können Stack-basierte Pufferüberläufe auftreten. Der Dienst ist etwa per SMB-Protokoll erreichbar. Daher benötigt ein Angreifer keine gültigen Anmeldedaten, wenn der Server unter Windows 2000 läuft. Der Fehlermeldung von CA zufolge lassen sich die Fehler auf fehlende Längenprüfungen zurückführen.
CA hat ein Software-Update bereitgestellt, das die Lücken schließt. Die fehlerhafte Software liegt den Programmen Threat Manager for the Enterprise r8, Protection Suites r3, BrightStor ARCserve Backup r11 for Windows, r11.1, r11.5, BrightStor Enterprise Backup r10.5, BrightStor ARCserve Backup v9.01 und BrightStor ARCserve Client Agent for Windows sowie eTrust Antivirus bei. Administratoren sollten das Update sobald wie möglich installieren.
Siehe dazu auch:
- Computer Associates Alert Notification Server Multiple Buffer Overflow Vulnerabilities, Fehlerbericht von iDefense
- Security Notice for CA products running the Alert service, Fehlermeldung von CA
- Download der aktualisierten Version von alert.exe
(dmk)
