Check Point Syslog Daemon Escape Sequence Handler Eingabeungültigkeit

VulDB: Check Point Syslog Daemon Escape Sequence Handler Eingabeungültigkeit

Allgemein

Check Point

scipID: 21
Betroffen: Check Point Software Next Generation FP3
Veröffentlicht: 21.03.2003 (Peter Bieringer)
Risiko: problematisch
Eintrag: 86.1% komplett
Erstellt: 21.03.2003
Aktualisiert: 27.06.2012

Beschreibung

Check Point Firewall-1 ist eine populäre Firewall-Lösung aus dem Hause Checkpoint Software Technologies. Eine Schwachstelle im Syslog-Daemon erlaubt es, mittels Escape-Sequenzen unvorhersehbare Situationen (z.B. Denial of Service oder Ausführen von Programmcode) herbeizurufen. Dadurch werden “bösartige” Escape-Sequenzen in das Syslog-Protokoll eingefügt, die dann beim Betrachten des Logs mittels Konsole ausgeführt werden. Zur Zeit stehen keine technischen Hintergrundinformationen zu dieser Schwachstelle bereit. Ein Proof of Concept kann unter http://www.securityfocus.com/bid/7161/exploit/ gefunden werden. Ein Workaround besteht darin, dass man vor dem Betrachten der Syslog-Daten sämtliche potentiell bösartigen Zeichenketten mittels dem tr-Kommando ersetzt. Durch die Eingabe von “fw log -tfnl | tr ‘00-1113-37200-377’ ‘*’ “ werden sodann sämtliche ASCII-Zeichen von 0-31 und 128-255 durch einen Stern ausgetauscht. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityFocus (BID 7161) dokumentiert.

Eine Vielzahl von Umständen müssen zusammenspielen, damit dieser Angriff erfolgreich durchgeführt werden kann. Und trotzdem sollte man die Gefahr nicht unterschätzen, denn die möglichen Auswirkungen der besagten Attacke sind noch nicht gänzlich ausgemacht. Potentiell gefährliche ASCII-Zeichen sollte man vor dem Betrachten der Syslog-Dateien durch die Konsole löschen oder ersetzen lassen. Sobald ein Patch erscheint, gilt es diesen einzuspielen.