Risque

  • Possibilité d'obtention de faux négatifs sur certains ids

Systèmes affectés

Les logiciels de détection d'intrusions suivant :

  • CISCO NetRanger ;
  • le module de détection d'intrusions des routeurs Catalyst 6000 ;
  • Dragon sensor 4.x ;
  • ISS realsecure Network Sensor 5.x, 6.x, avant XPU 3.2 et Server Sensor 6.0 et 5.5 pour Windows ;
  • les versions de snort antérieures à la version 1.8.1.

Il est possible que d'autres systèmes de détection d'intrusions soient sensibles à cette vulnérabilité, contactez le distributeur de votre système.

Résumé

Certains IDS peuvent être leurrés par des codes malicieux utilisant un format unicode particulier.

Description

Certains IDS (Intrusion Detection System ou Système de Détection d'Intrusions) utilisent des « signatures » basées sur la recherche de chaines de caractères dans les paquets qui transitent sur le réseau afin de détecter l'occurence d'une attaque.

Un utilisateur mal intentionné peut créer un code malicieux utilisant un codage unicode particulier (que seuls les serveurs web Internet Information Server utilisent) dans une requête HTTP afin de tromper les IDS.

Solution

Appliquer les correctifs selon les systèmes :

  • Cisco Secure Intrusion Detection System Sensor :

    ftp://ftp-eng.cisco.com/csids-sig-updates/ServicePacks/IDSK9-sp3.0-1.43-s6-0.43-bin
    
  • Pour les autres produits CISCO, il faut avoir un contrat de maintenance :

    http://www.cisco.com
    
  • Tous les produits ISS :

    http://www.iss.net/eval/eval.php
    
  • Realsecure Network Sensor :

    http://www.iss.net/db_data/xpu/RS.php
    

Documentation