Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OUTPOST-FIREWALLS weiterer schwerer BUG durch ungepatchten Treiber sandbox.sys kann Systemcrash verursachen

Frage Sicherheit

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

17.11.2006, aktualisiert 07.01.2009, 7777 Aufrufe

Betrifft: Outpost Firewall PRO 4.0 (971.584.079), Outpost Firewall PRO 4.0 (964.582.059) und Outpost Firewall PRO 4.0 (964.582.059), sowie wahrscheinlich aeltere Versionen der Outpost Firewall PRO 4.0 und vermutlich aeltere Versionen von Outpost Firewall PRO

Hallo liebe Gemeinde!
Hier ganz frisch, die Fortsetzung der sandbox.sys Sicherheitsluecke...

Advisory 2006-11-15.01

Outpost Multiple insufficient argument validation of hooked SSDT [System Service Descriptor Table] function Vulnerability.

Basic information:

Release date: November 15, 2006

Last update: November 17, 2006

Type: Implementation bugs

Character: System crash

Status: Unpatched bugs

Risk: Serious bugs

Exploitability: Locally exploitable bugs

Discoverability: Medium discoverable bugs

Testing program: BTP00000P004AO.zip

Description:

Hooking SSDT [ System Service Descriptor Table ] functions requires extra caution. SSDT function handlers are executed in the kernel mode but their callers are executed in the user mode. Hence all function arguments come from the user mode. This is why it is necessary to validate these arguments properly. Otherwise a simple user call can easily crash the whole system. This bug usually results in a system crash. However, it may happen that this bug is even more dangerous and can lead to the execution of an arbitrary code in the privileged kernel mode.

Outpost Firewall PRO hooks many functions in SSDT and in at least twelve cases it fails to validate arguments that come from user mode. User calls to NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver, NtWriteVirtualMemory with invalid argument values can cause system crashes because of errors in Outpost driver Sandbox.sys. Only in case of NtWriteVirtualMemory the user is able to prevent the system crash because Outpost alerts the user about a potentially dangerous action that can be blocked. However, even in this case the implementation of the Outpost driver is improper and should be fixed. Further impacts of this bug (like arbitrary code execution in the kernel mode) were not examined.
Vulnerable software:

          • Outpost Firewall PRO 4.0 (971.584.079)
          • Outpost Firewall PRO 4.0 (964.582.059)
          • probably all older versions of Outpost Firewall PRO 4.0
          • possibly older versions of Outpost Firewall PRO

Der sandbox.sys - Treiber hatte schon am 02.11.2006 von sich Reden gemacht;
http://www.administrator.de/frage/schwerer-bug-in-outpost-firewall-pro- ...

Original-Advisory vom matousec-team auf:
http://www.matousec.com/info/advisories/Outpost-Multiple-insufficient-a ...
[update vom 17.11.2006]

dort gibt es auch das Testfile
BTP00000P004AO.zip
zum runterladen.

Meine Meinung:
Agnitum sollte sich mal auf die Hinterbeine setzen und damit beginnen das Problem in den Griff zu bekommen. Es kann nicht sein, dem Kunden vollmundige Versprechungen zu machen ohne sie einzuhalten. Nach dem gegenwaertigen Stand der Dinge sind o.g. Produkte unsicher und nicht fuer den weiteren Gebrauch zu empfehlen; bis die Sicherheitsluecken gepatcht worden sind.

saludos
gnarff
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
Mehrere Hardware Firewalls (10)

Frage von cerberus90 zum Thema LAN, WAN, Wireless ...

Server-Hardware
Fehlende treiber auf Physischer Maschine (Server 2012R2) (2)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Administrator.de Feedback
Bug? "m f g" (ohne Leerzeichen) wird auch in URL ersetzt (4)

Frage von emeriks zum Thema Administrator.de Feedback ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...