Kerio Personal Firewall Authentication Paket Pufferüberlauf • scip AG VulDB

VulDB: Kerio Personal Firewall Authentication Paket Pufferüberlauf

Allgemein

scipID: 53
Betroffen: Kerio Personal Firewall bis und mit Version 2.1.4
Veröffentlicht: 28.04.2003 (Core Security Technologies)
Risiko: kritisch

Beschreibung

Taxierung der Schwachstelle

Die Firma Kerio entwickelte eine für Windows frei erhältliche Personal Firewall. Ein Pufferüberlauf wurde im Prozess der Authentisierung des Administrators gefunden. Wenn sich der Administrator mit der Firewall verbindet, wird ein definierter Handshake durchgeführt, der die verschlüsselte Verbindung einleitet. Das vierte Paket (das erste durch den Administrator geschickte Paket) beinhaltet stets 4 Bytes Nutzdaten. Auf der Firewall wird ein Boundary-Check für dieses Paket durchgeführt, so dass mehr als 4 Bytes übertragen werden können, die den Stack überschreiben lassen. Ein Angreifer kann sich sodann mit der Administrator-Schnittstelle verbinden, einen Pufferüberlauf erzwingen und beliebigen Programmcode auf dem Zielsystem ausführen. Dem Advisory wurde ein in Python verfasster proof-of-concept Exploit beigelegt. Als Workaround wird das Abschalten des Administrator-Interface empfohlen. Der Hersteller wurde informiert und er reagiert voraussichtlich mit einem Patch.

Pufferüberlauf-Schwachstellen können passieren – Und sie passieren immerwieder. Die Administratoren und Benutzer haben begonnen, damit zu leben. Doch spätestens dann stösst man sich an einer solchen Sicherheitslücke, wenn sie in Sicherheits-Lösungen – wie in diesem Fall eine Personal Firewall – gefunden werden. Da die Kerio Personal Firewall nicht besonders verbreitet ist, wird diese Schwachstelle keine allzugrosse Bedeutung haben. Gleichzeitig ist das Advisory jedoch als Warnung an alle Hersteller von Sicherheits-Lösungen zu verstehen. Wer kauft schon ein Produkt zur Absicherung seiner Rechner, wenn dieses Produkt weitere erfolgreiche Angriffe ermöglicht?