L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de InterScan VirusWall

vulnérabilité informatique CVE-2007-1591

Trend Micro : déni de service de UPX

Synthèse de la vulnérabilité

Un attaquant peut créer un programme UPX illicite afin de stopper les antivirus Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 15/03/2007.
Références : 1034587, BID-22965, CVE-2007-1591, VIGILANCE-VUL-6645.

Description de la vulnérabilité

Les programmes peuvent être compactés afin de diminuer leur taille et de rendre leur analyse plus difficile. Les antivirus Trend Micro supportent notamment le compacteur UPX (Ultimate Packer for eXecutables).

Un programme compacté avec UPX peut provoquer une division par zéro dans le driver VsapiNT.sys.

Un attaquant peut donc envoyer un programme compacté afin de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2007-0851

Trend Micro : buffer overflow de UPX

Synthèse de la vulnérabilité

Un attaquant peut créer un programme UPX illicite afin de faire exécuter du code sur les antivirus Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du client.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 08/02/2007.
Références : 1034289, BID-22449, CVE-2007-0851, VIGILANCE-VUL-6534, VU#276432.

Description de la vulnérabilité

Les programmes peuvent être compactés afin de diminuer leur taille et de rendre leur analyse plus difficile. Les antivirus Trend Micro supportent notamment le compacteur UPX (Ultimate Packer for eXecutables).

Un programme compacté avec UPX peut provoquer un buffer overflow.

Un attaquant peut donc envoyer un programme compacté afin de faire exécuter du code ou de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2007-0602

InterScan VirusWall : buffer overflow de VSAPI

Synthèse de la vulnérabilité

Un attaquant peut créer un débordement dans les applications liées à la bibliothèque libvsapi.so.
Produits concernés : InterScan VirusWall.
Gravité : 1/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 26/01/2007.
Références : BID-22240, CVE-2007-0602, EN-1034124, VIGILANCE-VUL-6503.

Description de la vulnérabilité

La bibliothèque VSAPI (libvsapi.so) est installée par VirusWall sous Linux.

Cette bibliothèque exporte une fonction qui copie les noms de fichiers dans un tableau de taille fixe de 1024 octets. Cette fonction peut donc être exploitée pour mener un déni de service ou exécuter du code.

Le programme /opt/trend/ISBASE/IScan.BASE/vscan est installé suid root et utilise cette bibliothèque. Seuls root ou les membres du groupe iscan peuvent exécuter ce programme. Un attaquant local membre du groupe iscan peut donc appeler vscan afin de provoquer le débordement pour acquérir les droits root.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité CVE-2006-4339 CVE-2006-4340 CVE-2006-4790

OpenSSL / GnuTLS / NSS : contournement de vérification de signature PKCS#1

Synthèse de la vulnérabilité

Un attaquant peut créer une signature PKCS #1 illicite qui sera acceptée comme valide par OpenSSL, GnuTLS ou NSS.
Produits concernés : CiscoWorks, Cisco CSS, Cisco IPS, Cisco Prime Central for HCS, Secure ACS, WebNS, Debian, Fedora, FreeBSD, Tru64 UNIX, HP-UX, BIND, Mandriva Corporate, Mandriva Linux, Mandriva NF, NetBSD, OpenSSL, openSUSE, Oracle Directory Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Java Oracle, Solaris, Trusted Solaris, RHEL, ProPack, Slackware, Sun AS, Sun Messaging, ASE, InterScan VirusWall, TurboLinux, WindRiver Linux.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 05/09/2006.
Dates révisions : 07/09/2006, 14/09/2006, 15/09/2006.
Références : 102622, 102648, 102686, 102696, 102722, 102744, 102759, 102781, 102970, 10332, 20060901-01-P, 200708, 201255, 6378707, 6466389, 6467218, 6469236, 6469538, 6472033, 6473089, 6473494, 6488248, 6499438, 6567841, 6568090, BID-19849, c00794048, c00849540, c00967144, cisco-sr-20061108-openssl, CSCek57074, CSCsg09619, CSCsg24311, CSCsg58599, CSCsg58607, CSCtx20378, CVE-2006-4339, CVE-2006-4340, CVE-2006-4790, DSA-1173-1, DSA-1174-1, DSA-1182-1, emr_na-c01070495-1, FEDORA-2006-953, FEDORA-2006-974, FEDORA-2006-979, FreeBSD-SA-06:19.openssl, HPSBTU02207, HPSBUX02165, HPSBUX02186, HPSBUX02219, MDKSA-2006:161, MDKSA-2006:166, MDKSA-2006:207, NetBSD-SA2006-023, RHSA-2006:0661, RHSA-2006:0680-01, RHSA-2008:0264-01, RHSA-2008:0525-01, RT #16460, secadv_20060905, SSA:2006-310-01, SSRT061213, SSRT061239, SSRT061266, SSRT061273, SSRT071299, SSRT071304, SUSE-SA:2006:055, SUSE-SA:2006:061, SUSE-SR:2006:023, SUSE-SR:2006:026, TLSA-2006-29, VIGILANCE-VUL-6140, VU#845620.

Description de la vulnérabilité

L'algorithme RSA utilise le principe suivant :
  Chiffré = Message^e (mod n)
  Chiffré^d (mod n) = Message
Avec :
 - n étant le produit de deux grands nombres premiers
 - e étant un exposant public, généralement 3, 17 ou 65537

Le standard PKCS #1 définit les fonctionnalités et utilisations de l'algorithme RSA.

Le fichier crypto/rsa/rsa_sign.c contient la fonction RSA_verify(). Cette fonction ne gère pas correctement les paddings trop longs. Lorsque l'exposant public est petit (3, voire 17 si le modulo est sur 4096 bits), cette erreur permet de faire accepter des signatures invalides comme étant valides.

Cette vulnérabilité permet ainsi à un attaquant de créer une signature PKCS #1 illicite qui sera acceptée comme valide par OpenSSL, GnuTLS ou NSS.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 4818

Antivirus : gestion incorrecte des fichiers contenant des échappements

Synthèse de la vulnérabilité

Lorsqu'un fichier contient des caractères d'échappement, les virus ne sont pas détectés, ou des erreurs se produisent lors de la consultation des journaux.
Produits concernés : F-PROT AV, Kaspersky AV, InterScan VirusWall.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, transit de données.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 15/03/2005.
Références : BID-12793, V6-AVZIPFILEESCAPE, VIGILANCE-VUL-4818.

Description de la vulnérabilité

Le bulletin VIGILANCE-VUL-3355 décrit une vulnérabilité concernant le caractère échappement utilisé dans les séquences ANSI. En effet, certaines combinaisons comme "Esc 2J" modifient l'apparence des terminaux Unix.

Un attaquant peut créer une archive ZIP dont les fichiers contiennent des séquences ANSI.

Les antivirus Kaspersky et F-Prot ne purgent pas ces séquences avant d'enregistrer les noms de fichiers dans les logs. Lorsque l'administrateur consulte les journaux sous un environnement Unix, ces séquences peuvent perturber l'affichage.

L'antivirus Micro Interscan Viruswall gère incorrectement ces séquences, et ne détecte pas le virus.

Ces vulnérabilités ont été démontrées dans des archives ZIP. Elles pourraient aussi concerner d'autres formats d'archivage.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2005-0533

Trend Micro : buffer overflow de ARJ

Synthèse de la vulnérabilité

Un attaquant peut créer une archive ARJ illicite provoquant l'exécution de code sur les antivirus Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Gravité : 3/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 24/02/2005.
Date révision : 25/02/2005.
Références : 189, BID-12643, CVE-2005-0533, V6-TRENDMICROVSAPIARJBOF, VIGILANCE-VUL-4784.

Description de la vulnérabilité

La bibliothèque VSAPI est employée par les produits Trend Micro. Elle gère notamment le décodage des archives ARJ.

Les archives ARJ peuvent contenir des fichiers dont le nom possède 2600 caractères.

Cependant, VSAPI stocke les noms de fichiers dans un tableau de 512 caractères, sans vérifier la taille. Un attaquant peut donc créer une archive ARJ contenant des fichiers dont le nom provoque un débordement.

Cette vulnérabilité permet ainsi à un attaquant distant de faire exécuter du code sur l'antivirus.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2005-0218

Antivirus : absence de vérification des données intégrées à un uri

Synthèse de la vulnérabilité

Lorsque les données sont intégrées à un uri, plusieurs antivirus ne les scannent pas.
Produits concernés : FW-1, ClamAV, Mandriva Linux, GroupShield, VirusScan, Sophos AV, InterScan VirusWall.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : serveur internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/01/2005.
Dates révisions : 12/01/2005, 13/01/2005, 17/01/2005.
Références : BID-12269, CVE-2005-0218, MDKSA-2005:025, V6-AVURIDATABYPASS, VIGILANCE-VUL-4636.

Description de la vulnérabilité

La RFC 2397 définit le schéma "data" permettant d'intégrer les données dans l'uri, généralement encodées en base64. Par exemple :
  data:image/gif;base64,gAARXhpZaZ==

Ainsi, un document HTML peut contenir une image :
  [img src="data:..."]
ou un lien :
  [a href="data:..."]

Les navigateurs Mozilla, Firefox, Safari et Opera supportent cette RFC. Le navigateur Internet Explorer ne l'implémente pas.

Plusieurs antivirus ne supportent pas cette fonctionnalité.

Un attaquant peut donc créer un document HTML contenant un uri illicite. Les données qu'il indique ne seront pas détectées par ces antivirus.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité informatique 2297

Déni de service par des fichiers compressés

Synthèse de la vulnérabilité

En envoyant des fichiers compressés au serveur de messagerie, l'attaquant distant peut mener un déni de service sur l'antivirus.
Produits concernés : F-PROT AV, Kaspersky AV, VirusScan, Norton Antivirus, Sophos AV, SWS, InterScan VirusWall.
Gravité : 2/4.
Conséquences : déni de service du service.
Provenance : serveur internet.
Confiance : sources multiples (3/5).
Date création : 26/02/2002.
Dates révisions : 27/02/2002, 12/01/2004, 09/02/2004, 28/06/2004.
Références : BID-10537, BID-9393, V6-ANTIVIRUSMAILBIGFILEDOS, VIGILANCE-VUL-2297.

Description de la vulnérabilité

Dans la plupart des architectures sécurisées, un antivirus est associé au serveur de messagerie. Celui-ci scanne le contenu des e-mails reçus et envoyés. Les fichiers compressés (zip, rar, tar.gz, tgz, bz2, etc.) suivent un chemin particulier:
 - ils sont décompressés dans une zone de quarantaine,
 - leur contenu est vérifié,
Si aucun virus n'est détecté, l'antivirus valide le fichier et traite l'email suivant.

Cependant, une erreur de conception a été découverte sur la plupart des antivirus. En effet, lorsqu'ils décompressent des fichiers compressés, aucune vérification de la taille des fichiers n'est effectuée.

Ainsi, un attaquant distant peut :
 - créer un fichier volumineux contenant des données fortement compressibles (1 pour 1000),
 - compresser ce fichier,
 - envoyer ce fichier par e-mail.
Lorsque le serveur reçoit l'email, l'antivirus utilise une partie des ressources CPU pour le décompresser, ainsi qu'une quantité importante d'espace disque.

L'attaquant peut donc mener un déni de service à deux niveaux sur le serveur associé à l'antivirus: utilisation importante du CPU et de l'espace disque.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité informatique CVE-2004-1859

Lecture de fichiers par InterScan WebManager

Synthèse de la vulnérabilité

Un attaquant peut utiliser le serveur web de InterScan WebManager pour lire les fichiers présents sur la machine.
Produits concernés : InterScan VirusWall.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 25/03/2004.
Date révision : 06/04/2004.
Références : BID-9966, BID-9977, CVE-2004-1859, V6-VWALLISHTTPDLOCAWEB, VIGILANCE-VUL-4079.

Description de la vulnérabilité

Le produit InterScan WebManager dispose d'une fonctionnalité TeleWindow affichant des informations sur le téléchargement en cours.

Lorsque TeleWindow est activé, l'url suivante devient valide :
  http://serveur/ishttpd/localweb/java/telewind.zip

Cependant, ce serveur web ne vérifie pas si le chemin contient "../". Un attaquant peut donc l'employer pour remonter dans l'arborescence et télécharger les fichiers du système.

Cette vulnérabilité permet ainsi à un attaquant de lire les fichiers présents sur la machine.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité 3971

Analyse incorrecte des fichiers UPX

Synthèse de la vulnérabilité

Un attaquant distant peut créer un fichier UPX illicite, qui ne sera pas analysé par la majorité des anti-virus.
Produits concernés : MAILsweeper, F-PROT AV, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norton Antivirus, Panda Software Platinium, Sophos AV, InterScan VirusWall, ScanMail.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 23/01/2004.
Références : V6-AVMULUPX, VIGILANCE-VUL-3971.

Description de la vulnérabilité

Le format UPX (Ultimate Packer for eXecutables) permet de compresser un programme et de le décompresser avant son exécution.

Il a été annoncé que la majorité des anti-virus ne savait pas reconnaître un fichier UPX spécialement construit. Un attaquant distant peut donc créer un virus et le compresser en UPX, afin qu'il ne soit pas détecté par les anti-virus. L'utilisateur, alors en confiance, peut décider de l'exécuter.

La liste exacte des anti-virus concernés n'est pas connue.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.