CERTA-2004-AVI-053

Vulnerability from certfr_avis - Published: - Updated:

Une faille a été identifiée dans les sondes d'ISS qui permet d'exploiter une vulnérabilité de type débordement de tampon. Cette dernière pourrait permettre à un utilisateur mal intentionné d'exécuter du code arbitraire à distance sans authentification avec des privilèges élevés.

Description

Les produits d'ISS (Internet Security Systems) cités ci-dessus incluent systématiquement une sonde de détection d'intrusions parfois couplée à un pare-feu (BlackIce, Porventia).

Le code d'analyse du protocole SMB (Server Message Block), utilisé par les systèmes d'exploitation de Microsoft pour partager des ressources, comporte une faille qui peut être utilisée pour corrompre la mémoire.

Un seul paquet serait suffisant pour exploiter ce défaut.

Contournement provisoire

Filtrer les ports SMB (445/tcp ou encapsulé dans NetBIOS 137, 138/udp et 139/tcp) sur les pare-feux permet de limiter les risques à des attaques provenant de la même zone de sécurité (ce qui n'exclut pas les rebonds). Cette règle est, par aileurs, recommandée de façon générale.

Solution

Mettre à jour en fonction des recommendations du vendeur :

  • BlackICE :

    http://blackice.iss.net/update_center/index.php

  • RealSecure :

    http://www.iss.net/download/
None
Impacted products
Vendor Product Description
N/A N/A Proventia séries A, G et M ;
N/A N/A BlackICE PC ou Server version 3.6 ;
N/A N/A RealSecure Desktop, Network ou Server Sensor 7.0.
N/A N/A RealSecure Sentry, Guard ou Desktop 3.6 ;
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Proventia s\u00e9ries A, G et M ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "BlackICE PC ou Server version 3.6 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "RealSecure Desktop, Network ou Server Sensor 7.0.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "RealSecure Sentry, Guard ou Desktop 3.6 ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "content": "## Description\n\nLes produits d\u0027ISS (Internet Security Systems) cit\u00e9s ci-dessus incluent\nsyst\u00e9matiquement une sonde de d\u00e9tection d\u0027intrusions parfois coupl\u00e9e \u00e0\nun pare-feu (BlackIce, Porventia).\n\nLe code d\u0027analyse du protocole SMB (Server Message Block), utilis\u00e9 par\nles syst\u00e8mes d\u0027exploitation de Microsoft pour partager des ressources,\ncomporte une faille qui peut \u00eatre utilis\u00e9e pour corrompre la m\u00e9moire.\n\nUn seul paquet serait suffisant pour exploiter ce d\u00e9faut.\n\n## Contournement provisoire\n\nFiltrer les ports SMB (445/tcp ou encapsul\u00e9 dans NetBIOS 137, 138/udp et\n139/tcp) sur les pare-feux permet de limiter les risques \u00e0 des attaques\nprovenant de la m\u00eame zone de s\u00e9curit\u00e9 (ce qui n\u0027exclut pas les rebonds).\nCette r\u00e8gle est, par aileurs, recommand\u00e9e de fa\u00e7on g\u00e9n\u00e9rale.\n\n## Solution\n\nMettre \u00e0 jour en fonction des recommendations du vendeur :\n\n-   BlackICE :\n\n        http://blackice.iss.net/update_center/index.php\n\n-   RealSecure :\n\n        http://www.iss.net/download/\n",
  "cves": [],
  "links": [
    {
      "title": "Note de vuln\u00e9rabilit\u00e9 du CERT/CC :",
      "url": "http://www.kb.cert.org/vuls/id/150326"
    },
    {
      "title": "Avis AD20040226 de eEye digital security :",
      "url": "http://www.eeye.com/html/Research/Advisories/AD20040226.html"
    },
    {
      "title": "Avis de s\u00e9curit\u00e9 d\u0027ISS :",
      "url": "http://xforce.iss.net/xforce/alerts/id/165"
    }
  ],
  "reference": "CERTA-2004-AVI-053",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-02-27T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    },
    {
      "description": "D\u00e9ni de service"
    }
  ],
  "summary": "Une faille a \u00e9t\u00e9 identifi\u00e9e dans les sondes d\u0027ISS qui permet d\u0027exploiter\nune vuln\u00e9rabilit\u00e9 de type d\u00e9bordement de tampon. Cette derni\u00e8re pourrait\npermettre \u00e0 un utilisateur mal intentionn\u00e9 d\u0027ex\u00e9cuter du code arbitraire\n\u00e0 distance sans authentification avec des privil\u00e8ges \u00e9lev\u00e9s.\n",
  "title": "Vuln\u00e9rabilit\u00e9 des produits Proventia, BlackICE et RealSecure d\u0027ISS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis AD20040226 d\u0027eEye digital security",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.