Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

TRENDMICRO und SOPHOS Denial of Service durch manipulierte RAR-Datei

Frage Sicherheit

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

11.12.2006, aktualisiert 07.01.2009, 4795 Aufrufe

Die Suche nach bekannten Viren geschieht mit einem Virenscanners.
Die meisten Virenscanner koennen auch innerhalb gepackter Dateien nach Schaedlingen
suchen.

In den nachfolgend beschriebenen Antivirenloesungen gibt es einen Sicherheitsanfaelligkeit
fuer Denial of Service Angriffe per remote explotation;
im Zusammenhang damit ist auch ein exzessiver Anstieg im Verbrauch von Systenressourcen zu
beobachten.

Betroffene Produkte:

    • Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.
      • Trend Micro PC Cillin - Internet Security 2006
      • Trend Micro Office Scan 7.3
      • Trend Micro Server Protect 5.58

    iDefense hat die Sicherheitsanfealligkeit fuer die folgenden Produkte bestaetigt;
    das bedeutet nicht, dass diese Liste einen Anspruch auf Vollstaendigkeit erhebt, da die
    Hersteller dieser AV-Loesungen den gleichen Virenscanner auch in anderen Versionen ihrer
    Produkte einsetzen.

    Die Sicherheitsanfaelligkeit fuer die betroffenen Produkte ergibt sich beim Scannen eines
    manipulierten *.RAR-Archives.
    Dabei muessen im Archiv-Header die Felder head_size und pack_size auf Null gesetzt sein,
    ist dies der Fall fuehren die Virenscanner eine Endlosschleife aus.

    Durch die erfolgreiche Ausnutzung dieser Sicherheitsanfaelligkeit verbraucht der so
    attakierte Virenscanner in exzessiven Masse Prozessorleistung und in manchen Faellen auch
    Speicherressourcen

    Um einen derartigen Angriff erfolgreich auszufuehren, muss das manipulierte *.RAR-Archiv
    zunaechst auf einen Rechner geladen werden, dies kann durch Email-Anhaenge, per FTP,
    Netzwerk-shares oder auch ueber Webformulare geschehen.

    Die Folgen dieser Sicherheitsanfaelligkeit sind fuer genannten Produkte
    nachstehend beschrieben:

    Sophos:
    Ob in einem gepackten Archiv gescannt wird oder nicht, ist bei diesem Produkt
    standardmaessig nicht vorgegeben und muss vom Benutzer extra eingestellt werden.
    Der Denial of Service - Angriff haelt den Virenscanner davon ab weitere Dateien und Archive
    zu scannen, da er in einer Endlosschleife gefangen, damit beschaeftigt ist das manipulierte
    *.RAR-Archiv zu untersuchen.
    Der Scann-Prozess haengt also, kann aber vom Benutzer ohne weiteres gestoppt werden.

    Zwischenloesung:
    Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.:
    "Scannen in Archiven" auf "disabled" setzen.
    Fuer die anderen Produkte dieses Herstellers ist noch keine Loesung bekannt
    Mehr Informationen unter:
    http://www.sophos.com/support/knowledgebase/article/7609.html

    Trend Micro:
    Bei einem Angriff verbraucht der Rechner 99% seiner CPU-Leistung und
    muss Neu gestartet werden, um den Endlos-Scannprozess zu beenden.

    Zwischenloesung:
    Trend Micro stellte fest, dass die Version 8.320, ihres Virenscanners fuer Windowssysteme,
    nicht von dieser Sicherheitsanfaelligkeit betroffen ist.
    Ausserdem gibt es einen neuen Release ihres Virenscanners, fuer HPUX-, und AIX-Builds;
    die Version 8.150, um diesem Sicherheitsproblem zu begegnen

    CVE: 2006-5645
    http://cve.mitre.org

    [Original-Advisory:iDefense Security Advisory 12.08.06
    http://labs.idefense.com/intelligence/vulnerabilities/
    Dec 08, 2006]

    saludos
    gnarff
Neuester Wissensbeitrag
Windows 10

Sticky Notes - Autostart unterbinden

(1)

Tipp von Pedant zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Sophos UTM220 - Appliance CPU Auslastung LOG-Datei downloaden? (7)

Frage von 1410640014 zum Thema Netzwerkmanagement ...

Netzwerkmanagement
Quality of Service am Cisco SG300 (3)

Frage von Maik82 zum Thema Netzwerkmanagement ...

Batch & Shell
gelöst Schreiben eines Strings mit Leerzeichen in eine Datei (6)

Frage von c20082005 zum Thema Batch & Shell ...

Firewall
Sophos - L2TP over IPsec - Windows 10 Client

Frage von fluluk zum Thema Firewall ...

Heiß diskutierte Inhalte
Router & Routing
Tipps für Router (ca. 100 clients, VPN) (18)

Frage von oel-auge zum Thema Router & Routing ...

TK-Netze & Geräte
gelöst Convert von TAPI auf CAPI gesucht (13)

Frage von StefanKittel zum Thema TK-Netze & Geräte ...