VulDB: Symantec Gateway bis 5.0.2.8 /spywall/ipchange.php exec() Command Injection
Allgemein
scipID: 5439
Betroffen: Symantec Gateway bis 5.0.2.8
Veröffentlicht: 17.05.2012
Risiko: 
kritisch
Eintrag: 95.6% komplett
Erstellt: 25.05.2012
Aktualisiert: 03.09.2012
Beschreibung
Es wurde eine kritische Schwachstelle in Symantec Gateway bis 5.0.2.8, ein Firewall, gefunden. Betroffen hiervon ist die Funktion exec() der Datei /spywall/ipchange.php. Mit Manipulation mit der Eingabe x00x0dx0ax26 kann eine Command Injection-Schwachstelle ausgenutzt werden. Hiermit kann man Programmcode ausführen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 17.05.2012 von Tenable Network Security als SYM12-006 in Form eines Bulletins (Website) via ZDI (Zero Day Initiative) publiziert. Das Advisory kann von zerodayinitiative.com heruntergeladen werden. Die Herausgabe passierte in Zusammenarbeit mit Symantec. Die Identifikation der Schwachstelle wird seit dem 04.01.2012 mit CVE-2012-0297 vorgenommen. Sie gilt als leicht auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.
Der Exploit kann von exploit-db.com heruntergeladen werden. Für den Vulnerability Scanner Nessus wurde am 21.05.2012 ein Plugin mit der ID 59208 (Symantec Web Gateway ipchange.php Shell Command Injection (SYM12-006) (intrusive check)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet.
Ein Aktualisieren auf die Version 5.0.3 vermag dieses Problem zu lösen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Symantec hat nachweislich sofort gehandelt. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (82023), Secunia (SA49216) und SecurityFocus (BID 53444) dokumentiert.CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:symantec:gateway:5.0.2.8
Exploiting
Klasse: Command Injection
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: öffentlich
Download: exploit-db.com
Nessus ID: 59208
Nessus Name: Symantec Web Gateway ipchange.php Shell Command Injection (SYM12-006) (intrusive check)
Nessus Family: CGI abuses
Gegenmassnahmen
Empfehlung: Upgrade
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Upgrade: Gateway 5.0.3
Timeline
04.01.2012 | CVE zugewiesen
17.05.2012 | Advisory veröffentlicht
17.05.2012 | Gegenmassnahme veröffentlicht
21.05.2012 | OSVDB Eintrag erstellt
21.05.2012 | Nessus Plugin veröffentlicht
25.05.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: SYM12-006
Firma: Tenable Network Security
Koordiniert: Ja
Bestätigung: symantec.com
OSVDB: 82023
CVE: CVE-2012-0297 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49216
SecurityFocus: 53444
