Wieder Sicherheitslücke in Intrusion-Prevention-Produkten von ISS
eEye hat einen weiteren Fehler in IDS/IPS-Produkten des Herstellers Internet Security Systems gefunden, der Angreifern das Ausführen von eigenem Code ermöglicht.
Der Sicherheitsdienstleister eEye [1] hat einen weiteren Fehler in Produkten des Herstellers Internet Security Systems [2] (ISS) zur Erkennung und Abwehr von Angriffen auf Serversysteme und Netzwerke -- so genannte Intrusion Detection/Prevention Systeme (IDS/IPS) -- gemeldet. Auch diesmal kann ein Angreifer mit manipulierten Paketen eigenen Code auf ein verwundbares System schleusen und im Systemkontext ausführen.
Schuld ist ein Buffer Overflows in den Parsing-Routinen des Protocol Analysis Module (PAM) zur Analyse des ICQ Instant Messaging Protocols. eEye weist in seinem Advisory darauf hin, dass ein einziges manipuliertes UDP-Paket ausreichen kann, um alle auf dem Weg liegenden verwundbaren Systeme zu kompromittieren. Das zuletzt gemeldete Sicherheitsloch [3] in IDS-Produkten von ISS basierte auf einem Heap Overflow in den PAM-Routinen zu Decodierung von SMB-Verkehr.
Betroffen sind folgende Produkte:
- RealSecure® Network 7.0, XPU 22.11 und frühere
- RealSecure Server Sensor 7.0 XPU 22.11 und frühere
- RealSecure Server Sensor 6.5 for Windows SR 3.10 und frühere
- Proventia™ A Series XPU 22.11 und frühere
- Proventia G Series XPU 22.11 und frühere
- Proventia M Series XPU 1.9 und frühere
- RealSecure Desktop 7.0 ebl und frühere
- RealSecure Desktop 3.6 ecf und frühere
- RealSecure Guard 3.6 ecf und frühere
- RealSecure Sentry 3.6 ecf und frühere
- BlackICE Agent for Server 3.6 ecf und frühere
- BlackICE PC Protection 3.6 ccf und frühere
- BlackICE Server Protection 3.6 ccf und frühere
Der Hersteller ISS hat bereits Patches für fast alle betroffenen Produkte zur Verfügung gestellt. ISS empfiehlt seinen Kunden dringend, die Updates zu installieren. Damit dürfte auch das Rätsel [4] gelöst sein, auf welche Sicherheitslücken in Produkten von ISS sich die Ankündigung von eEye auf deren "Upcoming"-Seiten [5] bezogen hatte. eEye hält dort eine Liste von nicht veröffentlichten Sicherheitslücken bereit, über die die Hersteller bereits informiert sind, um an Patches zu arbeiten.
Siehe dazu auch: (dab [6])
- Security Advisory [7] von eEye
- Security Advisory [8] von ISS
URL dieses Artikels:
https://www.heise.de/-95571
Links in diesem Artikel:
[1] http://www.eeye.com/
[2] http://www.iss.net/
[3] https://www.heise.de/news/Sicherheitsloch-in-Intrusion-Prevention-Produkten-von-ISS-94279.html
[4] https://www.heise.de/news/Sicherheitsproblem-mit-ISS-Produkten-95149.html
[5] http://www.eeye.com/html/Research/Upcoming/
[6] mailto:dab@ct.de
[7] http://www.eeye.com/html/Research/Advisories/AD20040318.html
[8] http://xforce.iss.net/xforce/alerts/id/166
Copyright © 2004 Heise Medien