Risques

  • Déni de service
  • Exécution de code arbitraire à distance

Systèmes affectés

  • BlackICE PC ou Server version 3.6 ;
  • Proventia séries A, G et M ;
  • RealSecure Desktop, Network ou Server Sensor 7.0.
  • RealSecure Sentry, Guard ou Desktop 3.6 ;

Résumé

Une faille a été identifiée dans les sondes d'ISS qui permet d'exploiter une vulnérabilité de type débordement de tampon. Cette dernière pourrait permettre à un utilisateur mal intentionné d'exécuter du code arbitraire à distance sans authentification avec des privilèges élevés.

Description

Les produits d'ISS (Internet Security Systems) cités ci-dessus incluent systématiquement une sonde de détection d'intrusions parfois couplée à un pare-feu (BlackIce, Porventia).

Le code d'analyse du protocole SMB (Server Message Block), utilisé par les systèmes d'exploitation de Microsoft pour partager des ressources, comporte une faille qui peut être utilisée pour corrompre la mémoire.

Un seul paquet serait suffisant pour exploiter ce défaut.

Contournement provisoire

Filtrer les ports SMB (445/tcp ou encapsulé dans NetBIOS 137, 138/udp et 139/tcp) sur les pare-feux permet de limiter les risques à des attaques provenant de la même zone de sécurité (ce qui n'exclut pas les rebonds). Cette règle est, par aileurs, recommandée de façon générale.

Solution

Mettre à jour en fonction des recommendations du vendeur :

  • BlackICE :

    http://blackice.iss.net/update_center/index.php
    
  • RealSecure :

    http://www.iss.net/download/
    

Documentation