Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OUTPOST-FIREWALLS weiterer schwerer BUG durch ungepatchten Treiber sandbox.sys kann Systemcrash verursachen

Frage Sicherheit

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

17.11.2006, aktualisiert 07.01.2009, 7827 Aufrufe

Betrifft: Outpost Firewall PRO 4.0 (971.584.079), Outpost Firewall PRO 4.0 (964.582.059) und Outpost Firewall PRO 4.0 (964.582.059), sowie wahrscheinlich aeltere Versionen der Outpost Firewall PRO 4.0 und vermutlich aeltere Versionen von Outpost Firewall PRO

Hallo liebe Gemeinde!
Hier ganz frisch, die Fortsetzung der sandbox.sys Sicherheitsluecke...

Advisory 2006-11-15.01

Outpost Multiple insufficient argument validation of hooked SSDT [System Service Descriptor Table] function Vulnerability.

Basic information:

Release date: November 15, 2006

Last update: November 17, 2006

Type: Implementation bugs

Character: System crash

Status: Unpatched bugs

Risk: Serious bugs

Exploitability: Locally exploitable bugs

Discoverability: Medium discoverable bugs

Testing program: BTP00000P004AO.zip

Description:

Hooking SSDT [ System Service Descriptor Table ] functions requires extra caution. SSDT function handlers are executed in the kernel mode but their callers are executed in the user mode. Hence all function arguments come from the user mode. This is why it is necessary to validate these arguments properly. Otherwise a simple user call can easily crash the whole system. This bug usually results in a system crash. However, it may happen that this bug is even more dangerous and can lead to the execution of an arbitrary code in the privileged kernel mode.

Outpost Firewall PRO hooks many functions in SSDT and in at least twelve cases it fails to validate arguments that come from user mode. User calls to NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver, NtWriteVirtualMemory with invalid argument values can cause system crashes because of errors in Outpost driver Sandbox.sys. Only in case of NtWriteVirtualMemory the user is able to prevent the system crash because Outpost alerts the user about a potentially dangerous action that can be blocked. However, even in this case the implementation of the Outpost driver is improper and should be fixed. Further impacts of this bug (like arbitrary code execution in the kernel mode) were not examined.
Vulnerable software:

          • Outpost Firewall PRO 4.0 (971.584.079)
          • Outpost Firewall PRO 4.0 (964.582.059)
          • probably all older versions of Outpost Firewall PRO 4.0
          • possibly older versions of Outpost Firewall PRO

Der sandbox.sys - Treiber hatte schon am 02.11.2006 von sich Reden gemacht;
http://www.administrator.de/frage/schwerer-bug-in-outpost-firewall-pro- ...

Original-Advisory vom matousec-team auf:
http://www.matousec.com/info/advisories/Outpost-Multiple-insufficient-a ...
[update vom 17.11.2006]

dort gibt es auch das Testfile
BTP00000P004AO.zip
zum runterladen.

Meine Meinung:
Agnitum sollte sich mal auf die Hinterbeine setzen und damit beginnen das Problem in den Griff zu bekommen. Es kann nicht sein, dem Kunden vollmundige Versprechungen zu machen ohne sie einzuhalten. Nach dem gegenwaertigen Stand der Dinge sind o.g. Produkte unsicher und nicht fuer den weiteren Gebrauch zu empfehlen; bis die Sicherheitsluecken gepatcht worden sind.

saludos
gnarff
Ähnliche Inhalte
Router & Routing
Packet Tracer und RIP BUG? (3)

Frage von Protected zum Thema Router & Routing ...

LAN, WAN, Wireless
Firewall in Subnetz - Firewall in anderem Standort (3)

Frage von DanO90 zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
gelöst Raid-Controller (Areca) Datenverlust trotz R5 (16)

Frage von sebastian2608 zum Thema Festplatten, SSD, Raid ...

Server-Hardware
Starker PC zum Virtualisieren (10)

Frage von canlot zum Thema Server-Hardware ...

Server-Hardware
HP ProLiant DL380 G7, POST Error: 1785-Drive Array not Configured (10)

Frage von Paderman zum Thema Server-Hardware ...

Microsoft Office
gelöst Office 365 Pro Domäne einrichten OHNE Webseite (9)

Frage von thklemm zum Thema Microsoft Office ...