Risques

  • Contournement des détections d'attaques
  • Déni de service

Systèmes affectés

  • RealSecure 3.2.1 sous Solaris ;
  • RealSecure 3.2.1 sous Windows NT.
  • RealSecure 3.2.2 sous Solaris ;

Résumé

Une vulnérabilité dans le moteur réseau d'ISS RealSecure permet d'arrêter l'agent responsable du contrôle des paquets du réseau.

Description

ISS RealSecure est un logiciel permettant une surveillance du trafic réseau, par le biais d'un agent de réseau, dans le but de découvrir des signatures d'attaques.

Une vulnérabilité sur le traitement des paquets ayant l'indicateur SYN a été découverte dans cet agent de réseau entraînant l'arrêt du moteur réseau.

Sous Solaris, l'arrêt du moteur est signifié à la console traitant les données du moteur et des agents.

Sous NT, le moteur se relance juste après avoir été arrêté, provoquant ainsi 100 % d'activité CPU.

Contournement provisoire

Aucun correctif n'est actuellement disponible auprès de l'éditeur. Cependant la désactivation de la détection d'attaque par SynFlood et IPFrag contourne cette vulnérabilité mais laisse le réseau vulnérable sur ce type d'attaque.