L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Agnitum Outpost Firewall

vulnérabilité informatique 13245

Agnitum Outpost Security Suite : élévation de privilège

Synthèse de la vulnérabilité

Un attaquant local peut employer plusieurs vulnérabilités de Agnitum Outpost Security Suite.
Produits concernés : Outpost Firewall.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Confiance : source unique (2/5).
Date création : 12/08/2013.
Références : BID-61726, VIGILANCE-VUL-13245.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Agnitum Outpost Security Suite.

Un attaquant peut provoquer un buffer overflow dans la mémoire Pool, afin de mener un déni de service, et éventuellement d'exécuter du code. [grav:2/4]

Un attaquant peut charger une DLL, afin d'élever ses privilèges. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 11387

Outpost Firewall Pro : déni de service du GUI

Synthèse de la vulnérabilité

Produits concernés : Outpost Firewall.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 22/02/2012.
Références : VIGILANCE-VUL-11387.

Description de la vulnérabilité

Un malware peut stopper le processus GUI de Outpost Firewall Pro.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 7964

Outpost Security Suite : contournement

Synthèse de la vulnérabilité

Lorsque le nom d'un fichier contient des caractères spéciaux, il peut contourner les restrictions de l'antivirus ou du firewall.
Produits concernés : Outpost Firewall.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, transit de données.
Provenance : document.
Confiance : source unique (2/5).
Date création : 23/07/2008.
Références : BID-30347, VIGILANCE-VUL-7964.

Description de la vulnérabilité

Le produit Outpost Security Suite est composé d'un antivirus et d'un firewall.

Lorsque le nom d'un fichier contient des séquences de caractères correspondant à une entité HTML (comme "‣"), ce fichier contourne l'antivirus et les restrictions d'exécution du firewall.

Un attaquant peut donc utiliser un fichier portant un nom spécial afin de contourner Outpost Security Suite.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2007-5042 CVE-2007-5044 CVE-2007-5047

Norton Internet Security, Outpost, ZoneAlarm : corruption via SSDT hooking

Synthèse de la vulnérabilité

Un attaquant local peut provoquer un déni de service ou corrompre la mémoire de certains logiciels implémentant incorrectement le SSDT hooking.
Produits concernés : Outpost Firewall, ZoneAlarm, Norton Internet Security.
Gravité : 1/4.
Conséquences : accès/droits administrateur, déni de service du serveur.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 19/09/2007.
Références : CVE-2007-5042, CVE-2007-5044, CVE-2007-5047, VIGILANCE-VUL-7177.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) contient les références des appels système :
 - NtCreateKey : création d'une clé dans la base de registres
 - NtCreateThread : création d'un thread
 - NtDeleteFile : effacement d'un fichier
 - etc.

Les logiciels de sécurité redirigent les entrées de cette table vers des fonctions spécifiques. Cependant, ces fonctions ne vérifient pas correctement leur paramètres. Un attaquant local peut donc employer des attributs illicites afin de provoquer une erreur.

Cette vulnérabilité conduit à un déni de service, et éventuellement à l'exécution de code.

Les logiciels suivants ont été identifiés comme vulnérables :
 - BlackICE PC Protection 3.6.cqn
 - G DATA InternetSecurity 2007
 - Ghost Security Suite beta 1.110 and alpha 1.200
 - Kaspersky Internet Security 7.0.0.125
 - Norton Internet Security 2008 15.0.0.60
 - Online Armor Personal Firewall 2.0.1.215
 - Outpost Firewall Pro 4.0.1025.7828
 - Privatefirewall 5.0.14.2
 - Process Monitor 1.22
 - ProcessGuard 3.410
 - ProSecurity 1.40 Beta 2
 - RegMon 7.04
 - ZoneAlarm Pro 7.0.362.000

Ces vulnérabilités sont différentes de VIGILANCE-VUL-6271, VIGILANCE-VUL-6704 et VIGILANCE-VUL-6742.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2007-3086

Outpost Firewall : déni de service via outpost_ipc_hdr

Synthèse de la vulnérabilité

Un attaquant local peut employer le mutex outpost_ipc_hdr afin de bloquer Outpost Firewall, et de forcer la victime à redémarrer le système.
Produits concernés : Outpost Firewall.
Gravité : 1/4.
Conséquences : accès/droits administrateur, déni de service du service.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 04/06/2007.
Références : BID-24284, CVE-2007-3086, VIGILANCE-VUL-6869.

Description de la vulnérabilité

Le firewall Outpost emploie le mutex \BaseNamedObjects\outpost_ipc_hdr lorsqu'une opération potentiellement dangereuse est menée sur le système.

Cependant, un processus non privilégié peut employer ce mutex (verrou), puis effectuer une opération dangereuse, ce qui bloque Outpost. La victime doit alors redémarrer le système.

Cette vulnérabilité permet donc à un attaquant local de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2007-0333

Outpost Firewall : altération via ZwSetInformationFile

Synthèse de la vulnérabilité

Un attaquant local peut corrompre l'installation de Outpost Firewall en utilisant ZwSetInformationFile().
Produits concernés : Outpost Firewall.
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : compte utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 16/01/2007.
Références : BID-22069, CVE-2007-0333, VIGILANCE-VUL-6470.

Description de la vulnérabilité

La table SSDT (System Service Descriptor Table) indique les adresses des fonctions implémentant les appels système Windows.

Afin qu'un attaquant local n'accède pas au répertoire d'installation de Outpost Firewall, ce dernier crochète ("hooke") certains appels système pour interdire l'accès au répertoire.

Cependant, la fonction ZwSetInformationFile() peut être utilisée pour modifier SandBox.sys, afin de supprimer cette protection au prochain démarrage du système.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique 6365

Outpost Firewall : contournement de la protection

Synthèse de la vulnérabilité

Un attaquant local peut utiliser une injection DLL afin de contourner la protection de Outpost Firewall, puis de le désactiver.
Produits concernés : Outpost Firewall.
Gravité : 1/4.
Conséquences : transit de données.
Provenance : shell utilisateur.
Confiance : source unique (2/5).
Date création : 04/12/2006.
Références : BID-21390, VIGILANCE-VUL-6365.

Description de la vulnérabilité

Le firewall Outpost s'assure qu'un attaquant local ne cherche pas à modifier la mémoire d'un processus pour y injecter le nom d'une DLL à charger.

Cependant, cette protection est inefficace si une chaîne ".dll" est déjà présente en mémoire. Un attaquant, pouvant écrire dans le répertoire système windows et autorisé à déboguer un programme, peut en effet référencer cette chaîne pour faire charger une bibliothèque illicite.

Un attaquant peut par exemple utiliser cette vulnérabilité contre le processus outpost.exe afin de le désactiver.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2006-5721 CVE-2006-7160

Outpost Firewall : déni de service de SandBox

Synthèse de la vulnérabilité

Un attaquant local peut envoyer des données illicites au driver Sandbox afin de stopper Outpost Firewall.
Produits concernés : Outpost Firewall.
Gravité : 1/4.
Conséquences : déni de service du service.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 02/11/2006.
Date révision : 16/11/2006.
Références : BID-20860, BID-21097, CVE-2006-5721, CVE-2006-7160, VIGILANCE-VUL-6271.

Description de la vulnérabilité

Le firewall Outpost possède un sandbox pour simuler l'exécution de programmes. Il est accessible via \Device\SandBox. Ce Sandbox utilise la SSDT (System Service Descriptor Table) pour rediriger les fonctions.

Cependant, les redirections des fonctions NtAssignProcessToJobObject, NtCreateKey, NtCreateThread, NtDeleteFile, NtLoadDriver, NtOpenProcess, NtProtectVirtualMemory, NtReplaceKey, NtTerminateProcess, NtTerminateThread, NtUnloadDriver et NtWriteVirtualMemory ne vérifient pas correctement leurs paramètres.

Un attaquant local peut donc créer un programme employant ces fonctions avec des paramètres illicites, afin de stopper le firewall.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2006-3697

Outpost Firewall : ouverture d'un explorateur privilégié

Synthèse de la vulnérabilité

Un attaquant local peut employer Outpost Firewall pour ouvrir un explorateur s'exécutant avec les privilèges SYSTEM.
Produits concernés : Outpost Firewall.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : compte utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 18/07/2006.
Date révision : 24/07/2006.
Références : BID-19024, BTS16825, CVE-2006-3697, sb-03-037491-001-t, VIGILANCE-VUL-6013.

Description de la vulnérabilité

Le produit Outpost Firewall dispose d'une interface où l'utilisateur peut cliquer sur un lien nommé "open folder" afin de visualiser le répertoire contenant le fichier. Cet explorateur est ouvert avec les droits de l'utilisateur courant.

Cependant, si l'attaquant local termine préalablement le processus explorer.exe, cet explorateur s'ouvre avec les droits SYSTEM.

Un attaquant local peut ainsi obtenir les privilèges d'administration sur le système.

Plusieurs variantes d'attaques sont proposées, car Outpost Firewall ouvre ses fenêtres avec les droits SYSTEM.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2006-3696

Outpost Firewall : buffer overflow de filtnt.sys

Synthèse de la vulnérabilité

Un attaquant local peut provoquer un débordement dans filtnt.sys afin de mener un déni de service et éventuellement faire exécuter du code.
Produits concernés : Outpost Firewall.
Gravité : 1/4.
Conséquences : accès/droits administrateur, déni de service du service.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 18/07/2006.
Références : BID-19026, CVE-2006-3696, VIGILANCE-VUL-6015.

Description de la vulnérabilité

Le driver filtnt.sys est utilisé par le produit Outpost Firewall.

Un attaquant local peut provoquer un buffer overflow dans ce driver.

Ce débordement conduit à un déni de service et pourrait conduire à l'exécution de code.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.