Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

TRENDMICRO und SOPHOS Denial of Service durch manipulierte RAR-Datei

Frage Sicherheit

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

11.12.2006, aktualisiert 07.01.2009, 4819 Aufrufe

Die Suche nach bekannten Viren geschieht mit einem Virenscanners.
Die meisten Virenscanner koennen auch innerhalb gepackter Dateien nach Schaedlingen
suchen.

In den nachfolgend beschriebenen Antivirenloesungen gibt es einen Sicherheitsanfaelligkeit
fuer Denial of Service Angriffe per remote explotation;
im Zusammenhang damit ist auch ein exzessiver Anstieg im Verbrauch von Systenressourcen zu
beobachten.

Betroffene Produkte:

    • Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.
      • Trend Micro PC Cillin - Internet Security 2006
      • Trend Micro Office Scan 7.3
      • Trend Micro Server Protect 5.58

    iDefense hat die Sicherheitsanfealligkeit fuer die folgenden Produkte bestaetigt;
    das bedeutet nicht, dass diese Liste einen Anspruch auf Vollstaendigkeit erhebt, da die
    Hersteller dieser AV-Loesungen den gleichen Virenscanner auch in anderen Versionen ihrer
    Produkte einsetzen.

    Die Sicherheitsanfaelligkeit fuer die betroffenen Produkte ergibt sich beim Scannen eines
    manipulierten *.RAR-Archives.
    Dabei muessen im Archiv-Header die Felder head_size und pack_size auf Null gesetzt sein,
    ist dies der Fall fuehren die Virenscanner eine Endlosschleife aus.

    Durch die erfolgreiche Ausnutzung dieser Sicherheitsanfaelligkeit verbraucht der so
    attakierte Virenscanner in exzessiven Masse Prozessorleistung und in manchen Faellen auch
    Speicherressourcen

    Um einen derartigen Angriff erfolgreich auszufuehren, muss das manipulierte *.RAR-Archiv
    zunaechst auf einen Rechner geladen werden, dies kann durch Email-Anhaenge, per FTP,
    Netzwerk-shares oder auch ueber Webformulare geschehen.

    Die Folgen dieser Sicherheitsanfaelligkeit sind fuer genannten Produkte
    nachstehend beschrieben:

    Sophos:
    Ob in einem gepackten Archiv gescannt wird oder nicht, ist bei diesem Produkt
    standardmaessig nicht vorgegeben und muss vom Benutzer extra eingestellt werden.
    Der Denial of Service - Angriff haelt den Virenscanner davon ab weitere Dateien und Archive
    zu scannen, da er in einer Endlosschleife gefangen, damit beschaeftigt ist das manipulierte
    *.RAR-Archiv zu untersuchen.
    Der Scann-Prozess haengt also, kann aber vom Benutzer ohne weiteres gestoppt werden.

    Zwischenloesung:
    Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.:
    "Scannen in Archiven" auf "disabled" setzen.
    Fuer die anderen Produkte dieses Herstellers ist noch keine Loesung bekannt
    Mehr Informationen unter:
    http://www.sophos.com/support/knowledgebase/article/7609.html

    Trend Micro:
    Bei einem Angriff verbraucht der Rechner 99% seiner CPU-Leistung und
    muss Neu gestartet werden, um den Endlos-Scannprozess zu beenden.

    Zwischenloesung:
    Trend Micro stellte fest, dass die Version 8.320, ihres Virenscanners fuer Windowssysteme,
    nicht von dieser Sicherheitsanfaelligkeit betroffen ist.
    Ausserdem gibt es einen neuen Release ihres Virenscanners, fuer HPUX-, und AIX-Builds;
    die Version 8.150, um diesem Sicherheitsproblem zu begegnen

    CVE: 2006-5645
    http://cve.mitre.org

    [Original-Advisory:iDefense Security Advisory 12.08.06
    http://labs.idefense.com/intelligence/vulnerabilities/
    Dec 08, 2006]

    saludos
    gnarff
Ähnliche Inhalte
Windows Server
Kein Patch für Denial-of-Service-Lücke in Windows Server (2)

Link von magicteddy zum Thema Windows Server ...

Exchange Server
gelöst Service Aktivierung Trendmicro (3)

Frage von Azubine zum Thema Exchange Server ...

Batch & Shell
gelöst Script zum Entpacken von rar und zip-Dateien (9)

Frage von windows-nutzer zum Thema Batch & Shell ...

Batch & Shell
Umbenennen entpackter Dateien nach Dateinamen der rar- zip-Datei

Frage von windows-nutzer zum Thema Batch & Shell ...

Neue Wissensbeiträge
Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(8)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

(1)

Information von BassFishFox zum Thema Datenschutz ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von Dobby zum Thema Firewall ...

Utilities

CCleaner 5.33 mit Malware infiziert

(27)

Information von SeaStorm zum Thema Utilities ...

Heiß diskutierte Inhalte
Utilities
CCleaner 5.33 mit Malware infiziert (27)

Information von SeaStorm zum Thema Utilities ...

Festplatten, SSD, Raid
gelöst Problem mit DELL 815R Server und Windows Bluescreen (24)

Frage von Leo-le zum Thema Festplatten, SSD, Raid ...

Windows Systemdateien
Windows bootet nicht mehr Fehlermeldung 0xc0000098 (19)

Frage von franzgoerlich zum Thema Windows Systemdateien ...

Windows Netzwerk
Dateien mit Intelligenz per GPO ins Programmverzeichnis (14)

Frage von erwin.t zum Thema Windows Netzwerk ...