Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst OUTPOST-FIREWALLS weiterer schwerer BUG durch ungepatchten Treiber sandbox.sys kann Systemcrash verursachen

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

17.11.2006, aktualisiert 07.01.2009, 7925 Aufrufe

Betrifft: Outpost Firewall PRO 4.0 (971.584.079), Outpost Firewall PRO 4.0 (964.582.059) und Outpost Firewall PRO 4.0 (964.582.059), sowie wahrscheinlich aeltere Versionen der Outpost Firewall PRO 4.0 und vermutlich aeltere Versionen von Outpost Firewall PRO

Hallo liebe Gemeinde!
Hier ganz frisch, die Fortsetzung der sandbox.sys Sicherheitsluecke...

Advisory 2006-11-15.01

Outpost Multiple insufficient argument validation of hooked SSDT [System Service Descriptor Table] function Vulnerability.

Basic information:

Release date: November 15, 2006

Last update: November 17, 2006

Type: Implementation bugs

Character: System crash

Status: Unpatched bugs

Risk: Serious bugs

Exploitability: Locally exploitable bugs

Discoverability: Medium discoverable bugs

Testing program: BTP00000P004AO.zip

Description:

Hooking SSDT [ System Service Descriptor Table ] functions requires extra caution. SSDT function handlers are executed in the kernel mode but their callers are executed in the user mode. Hence all function arguments come from the user mode. This is why it is necessary to validate these arguments properly. Otherwise a simple user call can easily crash the whole system. This bug usually results in a system crash. However, it may happen that this bug is even more dangerous and can lead to the execution of an arbitrary code in the privileged kernel mode.

Outpost Firewall PRO hooks many functions in SSDT and in at least twelve cases it fails to validate arguments that come from user mode. User calls to NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver, NtWriteVirtualMemory with invalid argument values can cause system crashes because of errors in Outpost driver Sandbox.sys. Only in case of NtWriteVirtualMemory the user is able to prevent the system crash because Outpost alerts the user about a potentially dangerous action that can be blocked. However, even in this case the implementation of the Outpost driver is improper and should be fixed. Further impacts of this bug (like arbitrary code execution in the kernel mode) were not examined.
Vulnerable software:

          • Outpost Firewall PRO 4.0 (971.584.079)
          • Outpost Firewall PRO 4.0 (964.582.059)
          • probably all older versions of Outpost Firewall PRO 4.0
          • possibly older versions of Outpost Firewall PRO

Der sandbox.sys - Treiber hatte schon am 02.11.2006 von sich Reden gemacht;
https://www.administrator.de/forum/schwerer-bug-in-outpost-firewall-pro- ...

Original-Advisory vom matousec-team auf:
http://www.matousec.com/info/advisories/Outpost-Multiple-insufficient-a ...
[update vom 17.11.2006]

dort gibt es auch das Testfile
BTP00000P004AO.zip
zum runterladen.

Meine Meinung:
Agnitum sollte sich mal auf die Hinterbeine setzen und damit beginnen das Problem in den Griff zu bekommen. Es kann nicht sein, dem Kunden vollmundige Versprechungen zu machen ohne sie einzuhalten. Nach dem gegenwaertigen Stand der Dinge sind o.g. Produkte unsicher und nicht fuer den weiteren Gebrauch zu empfehlen; bis die Sicherheitsluecken gepatcht worden sind.

saludos
gnarff
Ähnliche Inhalte
Backup
Clone einer 80GB HDD wegen Systemcrash
Frage von mc-doubleyouBackup3 Kommentare

Hallo zusammen, ich brauche mal wieder eure Hilfe. Folgendes Szenario: PC mit 2 SATA Platten Raid 1 bootet nicht ...

Visual Studio
Dot.Net Bug?
gelöst Frage von MarabuntaVisual Studio2 Kommentare

Ich habe möglicherweise einen Bug gefunden, da der Befehl aus C# u.o. DotNet kommt, wollte ich fragen ob ihr ...

Monitoring

Verursacher in Verbindungsunterbrechungen ermitteln - Internetradio

Frage von 133907Monitoring5 Kommentare

Hallo Admin's, was Netzwerk angeht bin ich ziemlicher Newbie. Ping kenne ich, aber nicht viel mehr. Zu meinem Problem: ...

Windows Server

Microsoft kann einem das Leben aber auch schwer machen

gelöst Frage von HenereWindows Server13 Kommentare

Ich "spiele" gerade mit einem 2016er rum, der Zicken am WSUS macht. Dann will ich Updates manuell runterladen und ...

Neue Wissensbeiträge
E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 1 TagE-Mail6 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 1 TagHyper-V

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Server-Hardware

Lösung für Ersatz eines defekter Raid-Controllers

Anleitung von wellknown vor 1 TagServer-Hardware4 Kommentare

Hallo, da ich nichts gefunden habe und selbst eine Lösung brauchte, hier eine kleine Anleitung für alle die vor ...

Heiß diskutierte Inhalte
Windows Server
Mit der alten Domäneprofil anmelden ohne Server
gelöst Frage von SyosseWindows Server37 Kommentare

Hallo Jungs Folgendes Szenario: Ich habe bei einem sehr kleinen Unternehmen (2Personen) den Server migriert, soweit hat alles geklappt. ...

Sicherheits-Tools
Virenprogramm lässt Programme nicht starten
Frage von SurferGirlSicherheits-Tools23 Kommentare

Hallo, ich bin neu hier, ich hoffe ich habe die richtige Rubrik gewählt. Falls nicht, tut es mir leid. ...

Windows Server
SQL Server Instanz (Eplan) auf WIN 2008 RC2 Server frisst RAM ohne Limit
Frage von derinderinderinWindows Server17 Kommentare

Hallo Zusammen, Wir haben hier einen Windows 2008 RC2 Server. Darauf läuft ein SQL Server Express 2014 Version 12.0.4232.0. ...

Windows 10
Best Practice für Schulungsräume
Frage von Sn0wFoxWindows 1016 Kommentare

Hallo, leider bin ich auch nach langer Suche nicht auf eine zufriedenstellende Nicht-Cloud-Lösung gestoßen und wollte mal Fragen ob ...