Risques
- Déni de service
- Exécution de code arbitraire à distance
Systèmes affectés
- BlackICE PC ou Server version 3.6 ;
- Proventia séries A, G et M ;
- RealSecure Desktop, Network ou Server Sensor 7.0.
- RealSecure Sentry, Guard ou Desktop 3.6 ;
Résumé
Une faille a été identifiée dans les sondes d'ISS qui permet d'exploiter une vulnérabilité de type débordement de tampon. Cette dernière pourrait permettre à un utilisateur mal intentionné d'exécuter du code arbitraire à distance sans authentification avec des privilèges élevés.
Description
Les produits d'ISS (Internet Security Systems) cités ci-dessus incluent systématiquement une sonde de détection d'intrusions parfois couplée à un pare-feu (BlackIce, Porventia).
Le code d'analyse du protocole SMB (Server Message Block), utilisé par les systèmes d'exploitation de Microsoft pour partager des ressources, comporte une faille qui peut être utilisée pour corrompre la mémoire.
Un seul paquet serait suffisant pour exploiter ce défaut.
Contournement provisoire
Filtrer les ports SMB (445/tcp ou encapsulé dans NetBIOS 137, 138/udp et 139/tcp) sur les pare-feux permet de limiter les risques à des attaques provenant de la même zone de sécurité (ce qui n'exclut pas les rebonds). Cette règle est, par aileurs, recommandée de façon générale.
Solution
Mettre à jour en fonction des recommendations du vendeur :
-
BlackICE :
http://blackice.iss.net/update_center/index.php -
RealSecure :
http://www.iss.net/download/
Documentation
- Avis AD20040226 de eEye digital security : http://www.eeye.com/html/Research/Advisories/AD20040226.html
- Avis de sécurité d'ISS : http://xforce.iss.net/xforce/alerts/id/165
- Note de vulnérabilité du CERT/CC : http://www.kb.cert.org/vuls/id/150326
