Sicherheitsloch in Intrusion-Prevention-Produkten von ISS
Eine Sicherheitslücke in den Produkten zur Erkennung und Abwehr von Angriffen auf Serversysteme und Netzwerke ermöglicht das Ausführen von beliebigem Code.
Der Sicherheitsdienstleister eEye [1], Entdecker der zuletzt gemeldeten Sicherheitslöcher in Windows [2], berichtet über mehrere Fehler in Produkten des Herstellers Internet Security Systems [3] (ISS) zur Erkennung und Abwehr von Angriffen auf Serversysteme und Netzwerke -- so genannte Intrusion Detection/Prevention Systeme (IDS/IPS). Ein Angreifer kann mit manipulierten SMB-Paketen einen Heap Overflow provozieren und damit eigenen Code in den Speicher schreiben und mit Systemrechten ausführen. Nach Angaben von eEye reicht dazu ein einziges spezielles "SMB Session Setup AndX request"-Paket [4] mit einem zu langen Benutzernamen (>300 Bytes) aus, wie es zur Authentifizierung an Servern verwendet wird. Da SMB-Verkehr in der Regel von Firewalls geblockt wird, ist ein Angriff eigentlich nur innerhalb eines Unternehmensnetzes denkbar.
Betroffen sind folgende Produkte:
- RealSecure Network 7.0, XPU 20.15 bis 22.9
- Real Secure Server Sensor 7.0 XPU 20.16 bis 22.9
- Proventia A Series XPU 20.15 bis 22.9
- Proventia G Series XPU 22.3 bis 22.9
- Proventia M Series XPU 1.3 bis 1.7
- RealSecure Desktop 7.0 eba bis ebh
- RealSecure Desktop 3.6 ebr bis ecb
- RealSecure Guard 3.6 ebr bis ecb
- RealSecure Sentry 3.6 ebr bis ecb
- BlackICE PC Protection 3.6 cbr bis ccb
- BlackICE Server Protection 3.6 cbr bis ccb
Der Hersteller ISS hat bereits Patches für die betroffenen Produkte zur Verfügung gestellt. In den dazugehörigen Change-Logs ist zur Beseitigung der Schwachstelle nur schlicht "Updated SMB Parser" eingetragen. In einem eigenen Advisory [5] empfiehlt ISS seinen Kunden allerdings dringend die Updates zu installieren.
Ähnliche Schwachstellen [6] in Netzwerksicherheitsprodukten hatte vor kurzem die Firma iDefense in der Firewall des Herstellers Checkpoint entdeckt, deren Application Intelligence eigentlich der erhöhten Sicherheit dienen sollte. Stattdessen war dort ein Fehler im HTTP-Parser enthalten, mit dem ein Angreifer beliebigen Code auf dem System ausführen konnte. Unter anderem mit den Gefahren durch Intrusion-Prevention-Funktionen auf Firewalls beschäftigt sich auch der heise-Security-Artikel: Besser vorbeugen [7].
Siehe dazu auch: (dab [8])
- Security Advisory [9] von eEye
URL dieses Artikels:
https://www.heise.de/-94279
Links in diesem Artikel:
[1] http://www.eeye.com
[2] https://www.heise.de/news/Patch-Day-Microsoft-stopft-weitere-Sicherheitsluecken-Update-93267.html
[3] http://www.iss.net/
[4] http://www.snia.org/tech_activities/CIFS/CIFS-TR-1p00_FINAL.pdf
[5] https://iss.custhelp.com/cgi-bin/iss.cfg/php/enduser/std_alp.php
[6] https://www.heise.de/news/Kritischer-Fehler-in-Checkpoint-Firewall-1-Update-92963.html
[7] https://www.heise.de/hintergrund/Besser-vorbeugen-270368.html
[8] mailto:dab@ct.de
[9] http://www.eeye.com/html/Research/Advisories/AD20040226.html
Copyright © 2004 Heise Medien