CERTA-2003-AVI-056

Vulnerability from certfr_avis - Published: - Updated:

Le garde-barrière Checkpoint Firewall-1 NG FP3 possède un démon syslog permettant la consolidation de journaux provenant de plusieurs matériels. Celui-ci présente plusieurs vulnérabilités.

Description

L'envoi de caractères malicieux vers le démon syslog entraîne une consommation excessive du temps CPU. Cette vulnérabilité peut être exploitée par un individu mal intentionné afin d'effectuer un déni de service sur le garde-barrière.

Un utilitaire en ligne de commande (fw log -nfnl) présent dans le garde-barrière permet la visualisation de messages des journaux syslog sur une console. Une vulnérabilité présente dans cet utilitaire permet à un individu mal intentionné d'injecter des caractères malicieux afin d'en fausser l'affichage.

Contournement provisoire

Filtrer le port 514/UDP pour n'accepter des paquets provenants uniquement de sources sûres.

Solution

La première vulnérabilité peut être corrigée par l'application du correctif HF2 (cf. Documentation ) ou bien par l'utilisation de l'outil SmartUpdate.

Aucun correctif n'est disponible pour la seconde vulnérabilité le jour de la rédaction de l'avis. Il est toutefois recommandé de ne pas utiliser cet utilitaire afin de visualiser les messages syslog ou de filtrer les caractères non désirés.

Checkpoint Firewall-1 NG FP3.

Impacted products
Vendor Product Description
References
Bulletin de sécurité Checkpoint None vendor-advisory

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eCheckpoint Firewall-1 NG FP3.\u003c/P\u003e",
  "content": "## Description\n\nL\u0027envoi de caract\u00e8res malicieux vers le d\u00e9mon `syslog` entra\u00eene une\nconsommation excessive du temps CPU. Cette vuln\u00e9rabilit\u00e9 peut \u00eatre\nexploit\u00e9e par un individu mal intentionn\u00e9 afin d\u0027effectuer un d\u00e9ni de\nservice sur le garde-barri\u00e8re.\n\nUn utilitaire en ligne de commande (`fw log -nfnl`) pr\u00e9sent dans le\ngarde-barri\u00e8re permet la visualisation de messages des journaux `syslog`\nsur une console. Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans cet utilitaire permet \u00e0\nun individu mal intentionn\u00e9 d\u0027injecter des caract\u00e8res malicieux afin\nd\u0027en fausser l\u0027affichage.\n\n## Contournement provisoire\n\nFiltrer le port `514/UDP` pour n\u0027accepter des paquets provenants\nuniquement de sources s\u00fbres.\n\n## Solution\n\nLa premi\u00e8re vuln\u00e9rabilit\u00e9 peut \u00eatre corrig\u00e9e par l\u0027application du\ncorrectif `HF2` (cf. Documentation ) ou bien par l\u0027utilisation de\nl\u0027outil `SmartUpdate`.\n\nAucun correctif n\u0027est disponible pour la seconde vuln\u00e9rabilit\u00e9 le jour\nde la r\u00e9daction de l\u0027avis. Il est toutefois recommand\u00e9 de ne pas\nutiliser cet utilitaire afin de visualiser les messages `syslog` ou de\nfiltrer les caract\u00e8res non d\u00e9sir\u00e9s.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2003-AVI-056",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2003-03-24T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Le garde-barri\u00e8re Checkpoint Firewall-1 NG FP3 poss\u00e8de un d\u00e9mon `syslog`\npermettant la consolidation de journaux provenant de plusieurs\nmat\u00e9riels. Celui-ci pr\u00e9sente plusieurs vuln\u00e9rabilit\u00e9s.\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans le garde-barri\u00e8re Firewall-1 NG",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Checkpoint",
      "url": "http://www.checkpoint.com/techsupport/alerts/syslog.html"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.