Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
Checkpoint Firewall-1 NG FP3.
Résumé
Le garde-barrière Checkpoint Firewall-1 NG FP3 possède un démon syslog
permettant la consolidation de journaux provenant de plusieurs
matériels. Celui-ci présente plusieurs vulnérabilités.
Description
L'envoi de caractères malicieux vers le démon syslog
entraîne une
consommation excessive du temps CPU. Cette vulnérabilité peut être
exploitée par un individu mal intentionné afin d'effectuer un déni de
service sur le garde-barrière.
Un utilitaire en ligne de commande (fw log -nfnl
) présent dans le
garde-barrière permet la visualisation de messages des journaux syslog
sur une console. Une vulnérabilité présente dans cet utilitaire permet à
un individu mal intentionné d'injecter des caractères malicieux afin
d'en fausser l'affichage.
Contournement provisoire
Filtrer le port 514/UDP
pour n'accepter des paquets provenants
uniquement de sources sûres.
Solution
La première vulnérabilité peut être corrigée par l'application du
correctif HF2
(cf. Documentation ) ou bien par l'utilisation de
l'outil SmartUpdate
.
Aucun correctif n'est disponible pour la seconde vulnérabilité le jour
de la rédaction de l'avis. Il est toutefois recommandé de ne pas
utiliser cet utilitaire afin de visualiser les messages syslog
ou de
filtrer les caractères non désirés.
Documentation
- Bulletin de sécurité Checkpoint http://www.checkpoint.com/techsupport/alerts/syslog.html