Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst TRENDMICRO und SOPHOS Denial of Service durch manipulierte RAR-Datei

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

11.12.2006, aktualisiert 07.01.2009, 4829 Aufrufe

Die Suche nach bekannten Viren geschieht mit einem Virenscanners.
Die meisten Virenscanner koennen auch innerhalb gepackter Dateien nach Schaedlingen
suchen.

In den nachfolgend beschriebenen Antivirenloesungen gibt es einen Sicherheitsanfaelligkeit
fuer Denial of Service Angriffe per remote explotation;
im Zusammenhang damit ist auch ein exzessiver Anstieg im Verbrauch von Systenressourcen zu
beobachten.

Betroffene Produkte:

    • Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.
      • Trend Micro PC Cillin - Internet Security 2006
      • Trend Micro Office Scan 7.3
      • Trend Micro Server Protect 5.58

    iDefense hat die Sicherheitsanfealligkeit fuer die folgenden Produkte bestaetigt;
    das bedeutet nicht, dass diese Liste einen Anspruch auf Vollstaendigkeit erhebt, da die
    Hersteller dieser AV-Loesungen den gleichen Virenscanner auch in anderen Versionen ihrer
    Produkte einsetzen.

    Die Sicherheitsanfaelligkeit fuer die betroffenen Produkte ergibt sich beim Scannen eines
    manipulierten *.RAR-Archives.
    Dabei muessen im Archiv-Header die Felder head_size und pack_size auf Null gesetzt sein,
    ist dies der Fall fuehren die Virenscanner eine Endlosschleife aus.

    Durch die erfolgreiche Ausnutzung dieser Sicherheitsanfaelligkeit verbraucht der so
    attakierte Virenscanner in exzessiven Masse Prozessorleistung und in manchen Faellen auch
    Speicherressourcen

    Um einen derartigen Angriff erfolgreich auszufuehren, muss das manipulierte *.RAR-Archiv
    zunaechst auf einen Rechner geladen werden, dies kann durch Email-Anhaenge, per FTP,
    Netzwerk-shares oder auch ueber Webformulare geschehen.

    Die Folgen dieser Sicherheitsanfaelligkeit sind fuer genannten Produkte
    nachstehend beschrieben:

    Sophos:
    Ob in einem gepackten Archiv gescannt wird oder nicht, ist bei diesem Produkt
    standardmaessig nicht vorgegeben und muss vom Benutzer extra eingestellt werden.
    Der Denial of Service - Angriff haelt den Virenscanner davon ab weitere Dateien und Archive
    zu scannen, da er in einer Endlosschleife gefangen, damit beschaeftigt ist das manipulierte
    *.RAR-Archiv zu untersuchen.
    Der Scann-Prozess haengt also, kann aber vom Benutzer ohne weiteres gestoppt werden.

    Zwischenloesung:
    Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.:
    "Scannen in Archiven" auf "disabled" setzen.
    Fuer die anderen Produkte dieses Herstellers ist noch keine Loesung bekannt
    Mehr Informationen unter:
    http://www.sophos.com/support/knowledgebase/article/7609.html

    Trend Micro:
    Bei einem Angriff verbraucht der Rechner 99% seiner CPU-Leistung und
    muss Neu gestartet werden, um den Endlos-Scannprozess zu beenden.

    Zwischenloesung:
    Trend Micro stellte fest, dass die Version 8.320, ihres Virenscanners fuer Windowssysteme,
    nicht von dieser Sicherheitsanfaelligkeit betroffen ist.
    Ausserdem gibt es einen neuen Release ihres Virenscanners, fuer HPUX-, und AIX-Builds;
    die Version 8.150, um diesem Sicherheitsproblem zu begegnen

    CVE: 2006-5645
    http://cve.mitre.org

    [Original-Advisory:iDefense Security Advisory 12.08.06
    http://labs.idefense.com/intelligence/vulnerabilities/
    Dec 08, 2006]

    saludos
    gnarff
Ähnliche Inhalte
Exchange Server
Service Aktivierung Trendmicro
gelöst Frage von AzubineExchange Server3 Kommentare

Hallo, ich richte erstmalig Trendmicro bei einem Kunden mit Exchange 2010 ein. Hier kommen die Fragen bei der Service-Akitivierung ...

Batch & Shell

Script zum Entpacken von rar und zip-Dateien

gelöst Frage von windows-nutzerBatch & Shell9 Kommentare

Hallo zusammen, ich will mir gerne ein Script schreiben das mir rar und zip Dateien entpackt. Es sind mindestens ...

Batch & Shell

Umbenennen entpackter Dateien nach Dateinamen der rar- zip-Datei

Frage von windows-nutzerBatch & Shell

Hallo zusammen, ich habe nachfolgenden Code, der mir verpackte Dateien entpackt. Da ich jedoch mehrere Dateien habe, die ich ...

Firewall

Sophos UTM - "Target Service Not Allowed"

gelöst Frage von ArnoNymousFirewall2 Kommentare

Hallo, stehe gerade etwas auf dem Schlauch und benötige eure Hilfe. Eingesetzt wird die Sophos (UTM 9.355-1) als Firewall ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...