scip AG

• Firma
• News
• Dienstleistungen
• Publikationen

VulDB: ISS BlackICE PC Protection bis 3.6.cpiE RapDrv.sys NtOpenSection() Denial of Service

Allgemein

scipID: 2504
Betroffen: ISS BlackICE PC Protection bis 3.6 cpiE
Veröffentlicht: 01.09.2006 (David Matousek)
Risiko: problematisch

Beschreibung

Die BlackICE PC Protection (früher unter dem Namen BlackICE Defender bekannt) ist eine hostbasierendes, für Workstations zugeschnittenes Intrusion Detection-System. Die kommerzielle Lösung wird von der Firma Internet Security Systems (ISS) betreut und vertrieben. David Matousek hat eine Schwachstelle in den Versionen bis 3.6 cpiE gefunden. Dort kann durch einen Fehler in RapDrv.sys BlackICE zum Absturz gebracht werden. Dazu ist es lediglich erforderlich, dass bei der Funktion NtOpenSection() der dritte Parameter weggelassen wird. Ein proof-of-concept Exploit wurde zusammen mit dem Advisory veröffentlicht. Der Hersteller wurde erst zum Zeitpunkt der Veröffentlichung des Advisories über das Problem informiert. Ein Patch wird voraussichtlich folgen.

Das Posting zur Schwachstelle ist vom technischen Standpunkt zwar gelungen – Jedoch erfährt der Leser in keinster Weise, was der Hersteller zum Bug meint und wie es diesen zu beheben gilt. Es bleibt zu hoffen, dass ISS sich der Sicherheitslücke bewusst ist und schnellstmöglich mit einer Aktualisierung der Software reagieren wird.

Exploiting

Klasse: Denial of Service
Lokal: Ja
Remote: Indirekt

Exploit: http://www.matousec.com/downloads/windows-personal-firewall-analysis/BTP00000P003BI.zip
Milw0rm: –
Nessus: –
ATK: –

Gegenmassnahmen

Status: Hersteller wurde über die Schwachstelle informiert.
Bestätigung: –

Massnahme: Ein alternatives Produkt einsetzen.
Link: http://www.iss.net

Snort: –
Pattern: –

Quellen

Advisory: http://www.matousec.com/info/advisories/BlackICE-Insufficient-validation-of-arguments-of-NtOpenSection.php

CVE: CVE-2006-4541
OSVDB: 28332
Securityfocus: 19800
Secunia: 21710
X-Force: –
Securitytracker: –
VUPEN: ADV-2006-3431
Securiteam: –

Tecchannel: –
Heise: –
smSS: –
Andere: http://www.zone-h.org/content/view/14127/92/
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)

Übersicht Schwachstellen

• Letzte Einträge
  • Cisco IOS TCP Connection Handling Denial of Service
  • Adobe ColdFusion Directory Traversal Schwachstelle
  • Microsoft Windows Tracing Feature for Services Privilege Escalation
  • Microsoft Windows MPEG Layer-3 Audio Decoder Pufferüberlauf
  • Microsoft Windows SMB Server verschiedene Schwachstellen
• Statistiken
  • Übersicht
  • Produkte
  • Reference Maps
• Archiv
  • 2010
  • 2009
  • 2008
  • 2007
  • 2006
  • 2005
  • 2004
  • 2003
• Syndication
  • Alert System
  • RSS
  • Twitter