Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OUTPOST-FIREWALLS weiterer schwerer BUG durch ungepatchten Treiber sandbox.sys kann Systemcrash verursachen

Frage Sicherheit

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

17.11.2006, aktualisiert 07.01.2009, 7849 Aufrufe

Betrifft: Outpost Firewall PRO 4.0 (971.584.079), Outpost Firewall PRO 4.0 (964.582.059) und Outpost Firewall PRO 4.0 (964.582.059), sowie wahrscheinlich aeltere Versionen der Outpost Firewall PRO 4.0 und vermutlich aeltere Versionen von Outpost Firewall PRO

Hallo liebe Gemeinde!
Hier ganz frisch, die Fortsetzung der sandbox.sys Sicherheitsluecke...

Advisory 2006-11-15.01

Outpost Multiple insufficient argument validation of hooked SSDT [System Service Descriptor Table] function Vulnerability.

Basic information:

Release date: November 15, 2006

Last update: November 17, 2006

Type: Implementation bugs

Character: System crash

Status: Unpatched bugs

Risk: Serious bugs

Exploitability: Locally exploitable bugs

Discoverability: Medium discoverable bugs

Testing program: BTP00000P004AO.zip

Description:

Hooking SSDT [ System Service Descriptor Table ] functions requires extra caution. SSDT function handlers are executed in the kernel mode but their callers are executed in the user mode. Hence all function arguments come from the user mode. This is why it is necessary to validate these arguments properly. Otherwise a simple user call can easily crash the whole system. This bug usually results in a system crash. However, it may happen that this bug is even more dangerous and can lead to the execution of an arbitrary code in the privileged kernel mode.

Outpost Firewall PRO hooks many functions in SSDT and in at least twelve cases it fails to validate arguments that come from user mode. User calls to NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver, NtWriteVirtualMemory with invalid argument values can cause system crashes because of errors in Outpost driver Sandbox.sys. Only in case of NtWriteVirtualMemory the user is able to prevent the system crash because Outpost alerts the user about a potentially dangerous action that can be blocked. However, even in this case the implementation of the Outpost driver is improper and should be fixed. Further impacts of this bug (like arbitrary code execution in the kernel mode) were not examined.
Vulnerable software:

          • Outpost Firewall PRO 4.0 (971.584.079)
          • Outpost Firewall PRO 4.0 (964.582.059)
          • probably all older versions of Outpost Firewall PRO 4.0
          • possibly older versions of Outpost Firewall PRO

Der sandbox.sys - Treiber hatte schon am 02.11.2006 von sich Reden gemacht;
http://www.administrator.de/frage/schwerer-bug-in-outpost-firewall-pro- ...

Original-Advisory vom matousec-team auf:
http://www.matousec.com/info/advisories/Outpost-Multiple-insufficient-a ...
[update vom 17.11.2006]

dort gibt es auch das Testfile
BTP00000P004AO.zip
zum runterladen.

Meine Meinung:
Agnitum sollte sich mal auf die Hinterbeine setzen und damit beginnen das Problem in den Griff zu bekommen. Es kann nicht sein, dem Kunden vollmundige Versprechungen zu machen ohne sie einzuhalten. Nach dem gegenwaertigen Stand der Dinge sind o.g. Produkte unsicher und nicht fuer den weiteren Gebrauch zu empfehlen; bis die Sicherheitsluecken gepatcht worden sind.

saludos
gnarff
Ähnliche Inhalte
Administrator.de Feedback
Suchfunktion des Forums Bugs und Verbesserungen (8)

Frage von colinardo zum Thema Administrator.de Feedback ...

Router & Routing
Packet Tracer und RIP BUG? (3)

Frage von Protected zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Firewall in Subnetz - Firewall in anderem Standort (5)

Frage von 121103 zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Multimedia

Raspberry Pi als Digital-Signage-Computer

(1)

Information von BassFishFox zum Thema Multimedia ...

Windows Update

Novemberpatches und Nadeldrucker bereiten Kopfschmerzen

(15)

Tipp von MettGurke zum Thema Windows Update ...

Windows 10

Abhilfe für Abstürze von CDPUsersvc auf Win10 1607 und 2016 1607

(7)

Tipp von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
Kennwort vergessen bei Hyper vserver 2012r (26)

Frage von jensgebken zum Thema Windows Server ...

Router & Routing
Freigabe aus anderem Netz nicht erreichbar (21)

Frage von McLion zum Thema Router & Routing ...

Batch & Shell
Batch Programm verhalten bei shoutdown -p (19)

Frage von Michael-ITler zum Thema Batch & Shell ...

Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail (18)

Frage von ahstax zum Thema Visual Studio ...