VulDB: Agnitum Outpost Firewall bis 2.1.303.314 TCP-Flooding Denial of Service
Allgemein
scipID: 651
Betroffen: Agnitum Outpost Firewall bis 2.1.303.314
Veröffentlicht: 12.05.2004 (Armin Pelkmann, freenet.de)
Risiko: 
kritisch
Beschreibung
Die Agnitum Outpost Firewall ist eine kommerzielle Desktop Firewall für Windows-Rechner. Der Deutsche Armin Pelkmann, ein ehemaliges Mitglied der deutschen Hacker-Gruppe KryptoCrew, hat eine Denial of Service-Schwachstelle in der Agnitum Outpost Firewall bis 2.1.303.314 entdeckt. Werden TCP-Segmente mit den gesetzten Flaggen URG, PSH, SYN und FIN sowie unter Miteinbeziehen zufällig gewählter Quell-IP-Adressen an die Firewall geschickt, kann die Lösung den eingehenden Datenverkehr nicht mehr in Echtzeit analysieren. Das Produkt beginnt sodann die Pakete in eine Queue zu schreiben, welche keine Obergrenze für die Grösse hat, was zu einem zusätzlichen und nicht enden wollenden Verbrauch des Arbeitsspeichers durch die Outpost Firewall führt. Dies führt zu einem fehlerhaften Pointer, der, sobald Windows den Missstand erkennt, zu einem Absturz der Desktop Firewall führt. Das System ist sodann nicht mehr auf dieser Ebene geschützt. Der Hersteller Agnitum wurde frühzeitig über die Schwachstelle informiert und arbeitet an einer Lösung. Das Problem soll in der nächsten Version der Outpost Firewall nicht mehr existent sein. Als Workaround können in der Konfigurationsdatei outpost.ini die Einstellungen HideIcmpActivity=yes und HideIpActivity=yes gesetzt werden. Nach einem Neustart von Outpost kann der Fehler nicht mehr ausgenutzt werden. Als erweiterter Workaround wird der Einsatz eines alternativen Produkts oder eines zusätzlichen Schutzes durch eine dedizierte Firewall-Lösung empfohlen.
Das Behandeln von Flooding ist für Inline-Lösungen, wie Desktop Firewalls nunmal auch welche sind, nicht einfach. Es hätte aber trotzdem im Ermessen der Entwickler liegen müssen, einen angemessenen Schutz gegen das Überfüllen der Queue und des Speichers umzusetzen. Armin hat Agnitum frühzeitig über die Schwachstelle informiert, jedoch machen die Entwickler scheinbar nicht genügend Druck, um eine aktualisierte Fassung der Software bereitzustellen. Mit dem Veröffentlichen der Schwachstelle soll der Hersteller zu einer schnelleren Reaktion bewegt werden.
Exploiting
Klasse: Denial of Service
Lokal: Indirekt
Remote: Ja
Exploit: http://www.securityfocus.com/bid/10338/exploit/
Milw0rm: –
Nessus: –
ATK: –
Gegenmassnahmen
Status: Hersteller arbeitet an einer Lösung.
Bestätigung: –
Massnahme: Die betroffene Funktion deaktivieren.
Link: http://www.agnitum.com/products/outpost/
Snort: –
Pattern: –
Quellen
Advisory: http://www.scip.ch/?vuldb.651
CVE: CVE-2004-2472
OSVDB: 6110
Securityfocus: 10338
Secunia: 11601
X-Force: 16133
Securitytracker: 1010151
VUPEN: –
Securiteam: –
Tecchannel: –
Heise: –
smSS: –
Andere: http://www.kryptocrew.de
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
