Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst TRENDMICRO und SOPHOS Denial of Service durch manipulierte RAR-Datei

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

11.12.2006, aktualisiert 07.01.2009, 4841 Aufrufe

Die Suche nach bekannten Viren geschieht mit einem Virenscanners.
Die meisten Virenscanner koennen auch innerhalb gepackter Dateien nach Schaedlingen
suchen.

In den nachfolgend beschriebenen Antivirenloesungen gibt es einen Sicherheitsanfaelligkeit
fuer Denial of Service Angriffe per remote explotation;
im Zusammenhang damit ist auch ein exzessiver Anstieg im Verbrauch von Systenressourcen zu
beobachten.

Betroffene Produkte:

    • Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.
      • Trend Micro PC Cillin - Internet Security 2006
      • Trend Micro Office Scan 7.3
      • Trend Micro Server Protect 5.58

    iDefense hat die Sicherheitsanfealligkeit fuer die folgenden Produkte bestaetigt;
    das bedeutet nicht, dass diese Liste einen Anspruch auf Vollstaendigkeit erhebt, da die
    Hersteller dieser AV-Loesungen den gleichen Virenscanner auch in anderen Versionen ihrer
    Produkte einsetzen.

    Die Sicherheitsanfaelligkeit fuer die betroffenen Produkte ergibt sich beim Scannen eines
    manipulierten *.RAR-Archives.
    Dabei muessen im Archiv-Header die Felder head_size und pack_size auf Null gesetzt sein,
    ist dies der Fall fuehren die Virenscanner eine Endlosschleife aus.

    Durch die erfolgreiche Ausnutzung dieser Sicherheitsanfaelligkeit verbraucht der so
    attakierte Virenscanner in exzessiven Masse Prozessorleistung und in manchen Faellen auch
    Speicherressourcen

    Um einen derartigen Angriff erfolgreich auszufuehren, muss das manipulierte *.RAR-Archiv
    zunaechst auf einen Rechner geladen werden, dies kann durch Email-Anhaenge, per FTP,
    Netzwerk-shares oder auch ueber Webformulare geschehen.

    Die Folgen dieser Sicherheitsanfaelligkeit sind fuer genannten Produkte
    nachstehend beschrieben:

    Sophos:
    Ob in einem gepackten Archiv gescannt wird oder nicht, ist bei diesem Produkt
    standardmaessig nicht vorgegeben und muss vom Benutzer extra eingestellt werden.
    Der Denial of Service - Angriff haelt den Virenscanner davon ab weitere Dateien und Archive
    zu scannen, da er in einer Endlosschleife gefangen, damit beschaeftigt ist das manipulierte
    *.RAR-Archiv zu untersuchen.
    Der Scann-Prozess haengt also, kann aber vom Benutzer ohne weiteres gestoppt werden.

    Zwischenloesung:
    Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.:
    "Scannen in Archiven" auf "disabled" setzen.
    Fuer die anderen Produkte dieses Herstellers ist noch keine Loesung bekannt
    Mehr Informationen unter:
    http://www.sophos.com/support/knowledgebase/article/7609.html

    Trend Micro:
    Bei einem Angriff verbraucht der Rechner 99% seiner CPU-Leistung und
    muss Neu gestartet werden, um den Endlos-Scannprozess zu beenden.

    Zwischenloesung:
    Trend Micro stellte fest, dass die Version 8.320, ihres Virenscanners fuer Windowssysteme,
    nicht von dieser Sicherheitsanfaelligkeit betroffen ist.
    Ausserdem gibt es einen neuen Release ihres Virenscanners, fuer HPUX-, und AIX-Builds;
    die Version 8.150, um diesem Sicherheitsproblem zu begegnen

    CVE: 2006-5645
    http://cve.mitre.org

    [Original-Advisory:iDefense Security Advisory 12.08.06
    http://labs.idefense.com/intelligence/vulnerabilities/
    Dec 08, 2006]

    saludos
    gnarff
Ähnliche Inhalte
Exchange Server
Service Aktivierung Trendmicro
gelöst Frage von AzubineExchange Server3 Kommentare

Hallo, ich richte erstmalig Trendmicro bei einem Kunden mit Exchange 2010 ein. Hier kommen die Fragen bei der Service-Akitivierung ...

Batch & Shell

Script zum Entpacken von rar und zip-Dateien

gelöst Frage von windows-nutzerBatch & Shell9 Kommentare

Hallo zusammen, ich will mir gerne ein Script schreiben das mir rar und zip Dateien entpackt. Es sind mindestens ...

Batch & Shell

Umbenennen entpackter Dateien nach Dateinamen der rar- zip-Datei

Frage von windows-nutzerBatch & Shell

Hallo zusammen, ich habe nachfolgenden Code, der mir verpackte Dateien entpackt. Da ich jedoch mehrere Dateien habe, die ich ...

Firewall

Sophos UTM - "Target Service Not Allowed"

gelöst Frage von ArnoNymousFirewall2 Kommentare

Hallo, stehe gerade etwas auf dem Schlauch und benötige eure Hilfe. Eingesetzt wird die Sophos (UTM 9.355-1) als Firewall ...

Neue Wissensbeiträge
Internet

Europa baut Zensurinfrastruktur auf: EU-Parlament stimmt für Upload-Filter, Leistungsschutzrecht und gegen KI-Forschung

Information von Frank vor 15 StundenInternet5 Kommentare

Eine sehr schlechte Entscheidungen für die Zukunft Europas ist gefallen: Der Rechtsausschuss im EU-Parlament stimmte heute morgen in einer ...

Windows 10

Mikrofon von Headset geht nach Update auf Windows 10 1803 nicht mehr

Tipp von Deepsys vor 2 TagenWindows 102 Kommentare

Ich verwende ein Plantronics Headset das per USB mit dem Windows 10 PC verbunden ist. Damit kann ich auch ...

Video & Streaming

Ruckelfreies Fernsehen auf Smartphone oder Tablet - in SD oder gar HD - Eine Alternative zum Fritz DVB-C Receiver

Anleitung von power-user vor 3 TagenVideo & Streaming9 Kommentare

Wer kennt das nicht: Man möchte gemütlich auf dem Balkon sitzen und vielleicht grillen und dabei das WM-Spiel gucken ...

Erkennung und -Abwehr
Trendmicro WFBS 10 ist in deutsch verfügbar!
Tipp von VGem-e vor 3 TagenErkennung und -Abwehr4 Kommentare

Servus Kollegen, downloadbar unter

Heiß diskutierte Inhalte
Windows 7
Windows 7 Benutzer wechsel nicht möglich
gelöst Frage von OSelbeckWindows 727 Kommentare

Hallo, ich habe hier einen Windows 7 Rechner, der in der Domäne war. Jetzt passiert beim starten, das ich ...

Instant Messaging
Whats App Business am PC einsetzen
Frage von thomasreischerInstant Messaging27 Kommentare

Hallo zusammen, wir würden demnächst gerne WhatsApp Business verwenden um den Kontakt zwischen Kunden und Mitarbeitern zu erleichtern. Natürlich ...

Windows Netzwerk
IP-Adresskonflikt
Frage von Turbo-MasterWindows Netzwerk18 Kommentare

Hallo zusammen, ich habe ein Problem mit unserem Netzwerk unter Windows Server. Ständig erhalten wir die Meldung, dass ein ...

Festplatten, SSD, Raid
RAID auflösen Synology DS213j!
gelöst Frage von Hendrik2586Festplatten, SSD, Raid18 Kommentare

Guten Morgen meine Lieben! :) Diese Frage wird sich sicherlich schon der ein oder andere gestellt haben. Es geht ...