L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de SGS

bulletin de vulnérabilité 8033

Symantec Veritas : accès à distance via Scheduler Service

Synthèse de la vulnérabilité

Un attaquant peut utiliser le port d'écoute du Scheduler Service, pour y envoyer des paquets dans le but de faire exécuter du code.
Produits concernés : Norton Antivirus, Symantec AV, Symantec ESM, SGS.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 18/08/2008.
Références : 306386, BID-30596, SYM08-015, VIGILANCE-VUL-8033.

Description de la vulnérabilité

Le service "Scheduler" de Symantec attend la réception de messages provenant de clients pour télécharger des mises à jour sécurité.

Le port étant en permanence ouvert, il est possible d'y envoyer des paquets pour modifier le comportement du service.

Un attaquant peut donc envoyer des messages au service, dans le but d'exécuter du code.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2007-0447 CVE-2007-3699

Symantec AV, SGS, WS, Norton AV, IS, PF : vulnérabilités de RAR et CAB

Synthèse de la vulnérabilité

Deux vulnérabilités des produits Symantec et Norton conduisent à un déni de service ou à l'exécution de code.
Produits concernés : Norton Antivirus, Norton Internet Security, Raptor Firewall, Symantec AV, SEF, SGS, SWS.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du service, déni de service du client.
Provenance : document.
Confiance : confirmé par l'éditeur (5/5).
Date création : 12/07/2007.
Date révision : 13/07/2007.
Références : BID-24282, CVE-2007-0447, CVE-2007-3699, CVE-2007-3801-REJECT, SYM07-019, VIGILANCE-VUL-7004, ZDI-07-039, ZDI-07-040.

Description de la vulnérabilité

Deux vulnérabilités des produits Symantec et Norton concernent l'analyse de fichier RAR ou CAB.

Un attaquant peut modifier le champ PACK_SIZE de l'entête d'un fichier RAR afin de créer une boucle infinie lors de l'ouverture du fichier. [grav:3/4; CVE-2007-3699, CVE-2007-3801-REJECT, ZDI-07-039]

Une archive CAB illicite peut créer un débordement conduisant à l'exécution de code. [grav:3/4; CVE-2007-0447, ZDI-07-040]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2006-2341

Symantec EF, SGS : obtention d'adresses IP internes via le proxy HTTP

Synthèse de la vulnérabilité

Un attaquant peut mener une requête spéciale vers le proxy HTTP afin d'obtenir les adresses IP masquées par une translation.
Produits concernés : SEF, SGS.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 11/05/2006.
Date révision : 12/05/2006.
Références : BID-17936, CVE-2006-2341, SEC Consult SA-20060512-0, SYM06-009, VIGILANCE-VUL-5833.

Description de la vulnérabilité

Lorsqu'une adresse IP est translatée, seule sa valeur publique peut être obtenue depuis internet.

Le proxy HTTP installé sur le firewall ne gère pas correctement les requêtes malformées de la forme :
  getABC/DEF http/1.0
Dans ce cas, un timeout se produit et le proxy retourne un message d'erreur contenant :
  http://192.168.1.1ABC/DEF
A l'aide de cette requête, l'attaquant obtient donc l'adresse IP privée des serveurs web situés derrière le proxy.

Cette vulnérabilité permet donc à un attaquant d'obtenir des informations dans le but de préparer une intrusion.
Bulletin Vigil@nce complet.... (Essai gratuit)

annonce de vulnérabilité CVE-2005-3666 CVE-2005-3667 CVE-2005-3668

IPSec : vulnérabilités de certaines implémentations du protocole ISAKMP

Synthèse de la vulnérabilité

Plusieurs implémentations du protocole ISAKMP sont sensibles aux mêmes vulnérabilités.
Produits concernés : FW-1, VPN-1, ASA, Cisco Catalyst, IOS par Cisco, Cisco Router, Cisco VPN Concentrator, Debian, Fedora, Tru64 UNIX, HP-UX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, Mandriva Linux, NETASQ, NetBSD, openSUSE, Openswan, Solaris, RHEL, ProPack, SEF, SGS, Unix (plateforme) ~ non exhaustif.
Gravité : 3/4.
Conséquences : accès/droits utilisateur, déni de service du serveur, déni de service du service.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 14/11/2005.
Date révision : 22/11/2005.
Références : 102040, 102246, 10310, 20060501-01-U, 273756, 273756/NISCC/ISAKMP, 6317027, 6348585, 68158, BID-15401, BID-15402, BID-15416, BID-15420, BID-15474, BID-15479, BID-15516, BID-15523, BID-17030, BID-17902, c00602119, CERTA-2005-AVI-458, CERTA-2005-AVI-504, CQ/68020, CSCed94829, CSCei14171, CSCei15053, CSCei19275, CSCei46258, CSCsb15296, CVE-2005-3666, CVE-2005-3667, CVE-2005-3668, CVE-2005-3669, CVE-2005-3670, CVE-2005-3671, CVE-2005-3672, CVE-2005-3673, CVE-2005-3674, CVE-2005-3675, CVE-2005-3732, CVE-2005-3733, CVE-2005-3768, CVE-2006-2298, DSA-965-1, FEDORA-2005-1092, FEDORA-2005-1093, FLSA:190941, FLSA-2006:190941, HPSBTU02100, HPSBUX02076, MDKSA-2006:020, NetBSD-SA2006-003, NISCC/ISAKMP/273756, PR/61076, PR/61779, PSN-2005-11-007, RHSA-2006:026, RHSA-2006:0267-01, SEF8.0-20051114-00, sk31316, SSRT050979, SUSE-SA:2005:070, SYM05-025, VIGILANCE-VUL-5352, VU#226364.

Description de la vulnérabilité

Le protocole IPSec permet de créer des VPN. L'établissement d'un tunnel IPSec nécessite de disposer de SA (Security Associations: algorithme, taille de clé, etc.) entre les deux entités. Les SA peuvent être configurés par l'administrateur, ou automatiquement échangés. Dans ce cas, le protocole d'échange IKE (Internet Key Exchange) est utilisé. IKE est basé sur ISAKMP (ainsi que sur Oakley et Skeme). Le protocole ISAKMP (Internet Security Association and Key Management Protocol) définit un cadre générique (format et mécanismes). ISAKMP utilise deux phases : établissement d'une connexion sécurisée (phase 1, main mode ou aggressive mode), puis utilisation de cette connexion pour échanger un ou plusieurs SA (phase 2, quick mode). Le mode "aggressive" utilise moins d'échanges que le mode "main" et son utilisation n'est donc pas recommandée.

Plusieurs produits implémentent incorrectement la phase 1 du protocole ISAKMP/IKEv1. Ils comportent des vulnérabilités de type buffer overflow, attaque par format ou déni de service.

En fonction des produits, ces vulnérabilités permettent donc de faire exécuter de code ou de mener un déni de service.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2004-0790 CVE-2004-0791 CVE-2004-1060

TCP : déni de service à l'aide de paquets ICMP

Synthèse de la vulnérabilité

Un attaquant peut envoyer de nombreux paquets ICMP dans le but d'interrompre une session TCP.
Produits concernés : ASA, Cisco Catalyst, Cisco CSS, IOS par Cisco, Cisco Router, Cisco VPN Concentrator, WebNS, BIG-IP Hardware, TMOS, Fedora, Tru64 UNIX, HP-UX, AIX, Juniper J-Series, Junos OS, Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows XP, OpenBSD, Solaris, Trusted Solaris, TCP (protocole), Raptor Firewall, RHEL, RedHat Linux, SEF, SGS.
Gravité : 2/4.
Conséquences : déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 16/08/2004.
Dates révisions : 26/08/2004, 19/01/2005, 12/04/2005, 13/04/2005, 21/04/2005, 25/04/2005, 26/05/2005, 02/06/2005, 20/06/2005, 28/06/2005, 08/07/2005, 11/07/2005, 19/07/2005, 02/08/2005.
Références : 101658, 2005.05.02, 5084452, 899480, 922819, BID-13124, BID-13215, BID-13367, c00571568, c00576017, CERTA-2005-AVI-023, CERTA-2005-AVI-135, CERTA-2005-AVI-155, CERTA-2006-AVI-444, CISCO20050412a, CVE-2004-0790, CVE-2004-0791, CVE-2004-1060, CVE-2005-0065, CVE-2005-0066, CVE-2005-0067, CVE-2005-0068, CVE-2005-1184, CVE-2005-1192, FLSA:157459-2, FLSA-2006:157459-1, FLSA-2006:157459-2, HP01137, HP01164, HP01210, HPSBTU01210, HPSBUX01137, HPSBUX01164, IY55949, IY55950, IY62006, IY63363, IY63364, IY63365, IY70026, IY70027, IY70028, K23440942, MS05-019, MS06-064, OpenBSD 34-027, OpenBSD 35-015, PSN-2004-09-009, RHSA-2005:043, SOL15792, SOL4583, SSRT4743, SSRT4884, SSRT5954, Sun Alert 57746, V6-TCPICMPERROR, VIGILANCE-VUL-4336, VU#222750.

Description de la vulnérabilité

Le protocole ICMPv4 gère les erreurs et informations relatives aux flux IPv4.

Lorsqu'une erreur est détectée par une machine du réseau, celle-ci envoie un paquet ICMPv4 d'erreur (destination unreachable, source quench (saturation), redirect, time exceeded (ttl), parameter problem, etc.). Les données de ce paquet contiennent le début du paquet ayant provoqué l'erreur, plus précisément :
 - l'entête IP du paquet
 - au moins les 64 premiers bits (8 octets) suivant l'entête IP

Les 64 premiers bits permettent de retrouver à quel flux appartient ce paquet. Par exemple, si le paquet erroné est de type TCP, ces 64 bits contiennent :
 - le port source (2 octets)
 - le port destination (2 octets)
 - le numéro de séquence (4 octets)

Lors de la réception d'un paquet ICMP correspondant à une session TCP en cours, la pile IP interrompt la connexion et retourne une erreur à l'application de l'utilisateur.

Cependant, certaines implémentations ne vérifient pas le numéro de séquence. Ainsi, un attaquant, connaissant les adresses IP et le numéro du port du service (22, 25, etc.), doit uniquement deviner le numéro du port du client. L'attaquant a donc une chance sur 65536 (ou moins si les caractéristiques d'assignation de numéro de port sont connues) de générer un paquet ICMP qui sera accepté, et qui interrompra la session.

Les implémentations vérifiant le numéro de séquence sont vulnérables à une attaque similaire à VIGILANCE-VUL-4128. La réussite de cette attaque est alors moins probable.

Cette vulnérabilité permet donc à un attaquant d'envoyer une série de paquets ICMP dans le but de mener un déni de service. Selon le type de l'erreur ICMP (injoignable ou saturation), deux conséquences sont possibles : arrêt de la session ou ralentissement du transfert.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2004-0230

TCP : déni de service à l'aide de paquet Reset

Synthèse de la vulnérabilité

En envoyant des paquets contenant le drapeau Reset et en prédisant certaines informations, un attaquant peut interrompre des sessions TCP actives.
Produits concernés : FabricOS, Brocade Network Advisor, Brocade vTM, FW-1, VPN-1, ASA, Cisco Cache Engine, Cisco Catalyst, Cisco CSS, IOS par Cisco, Cisco Router, Cisco VPN Concentrator, WebNS, FreeBSD, Tru64 UNIX, AIX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, NSMXpress, Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows XP, NetBSD, NetScreen Firewall, ScreenOS, OpenBSD, TCP (protocole), Raptor Firewall, SUSE Linux Enterprise Desktop, SLES, SEF, SGS.
Gravité : 3/4.
Conséquences : déni de service du client.
Provenance : client internet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 21/04/2004.
Dates révisions : 22/04/2004, 23/04/2004, 26/04/2004, 27/04/2004, 28/04/2004, 03/05/2004, 07/05/2004, 11/05/2004, 15/07/2004, 06/12/2004, 24/12/2004, 18/02/2005, 13/04/2005, 03/05/2005, 12/05/2005, 19/07/2005.
Références : 20040403-01-A, 2005.05.02, 236929, 50960, 50961, 58784, 899480, 922819, BID-10183, BSA-2016-005, CERTA-2004-AVI-138, CERTA-2004-AVI-140, CERTA-2004-AVI-143, CERTFR-2014-AVI-308, CERTFR-2017-AVI-034, CERTFR-2017-AVI-044, CERTFR-2017-AVI-054, CERTFR-2017-AVI-131, CISCO20040420a, CISCO20040420b, cisco-sa-20040420-tcp-ios, cisco-sa-20040420-tcp-nonios, CSCed27956, CSCed32349, CVE-2004-0230, FreeBSD-SA-14:19.tcp, HP01077, IY55949, IY55950, IY62006, IY63363, IY63364, IY63365, IY70026, IY70027, IY70028, JSA10638, MS05-019, MS06-064, NetBSD 2004-006, NetBSD-SA2004-006, Netscreen 58784, OpenBSD 34-019, OpenBSD 35-005, PSN-2012-08-686, PSN-2012-08-687, PSN-2012-08-688, PSN-2012-08-689, PSN-2012-08-690, SGI 20040403, SUSE-SU-2017:0333-1, SUSE-SU-2017:0437-1, SUSE-SU-2017:0494-1, SUSE-SU-2017:1102-1, V6-TCPRSTWINDOWDOS, VIGILANCE-VUL-4128, VU#415294.

Description de la vulnérabilité

L'entête TCP contient un champ window/fenêtre qui correspond à la taille du buffer de réception de la machine ayant émis le paquet. Ainsi si certains paquets arrivent dans le désordre la machine peut les stocker en attente de réception des paquets précédents.

Lorsqu'une connexion TCP est établie, elle peut se terminer de deux manières :
 - les entités s'échangent des paquets contenant le drapeau Fin actif. Dans ce cas, les numéros de séquence (et d'acquittement car le Ack est nécessaire) doivent correspondre exactement.
 - l'une des entités envoie un paquet contenant le drapeau Reset actif. Dans ce cas (drapeau Ack non actif), seul le numéro de séquence doit correspondre approximativement. En effet, il doit se situer dans la fenêtre de réception.

Ainsi, au lieu de deviner un numéro de séquence parmi 2^32 nombres, l'attaquant doit simplement envoyer 2^32/fenêtre paquets Reset. Par exemple si la taille de la fenêtre est 32k, l'attaquant doit envoyer 2^32/32k = 131072 paquets.

Il faut noter que pour mener ce déni de service utilisant un paquet TCP Reset, l'attaquant doit connaître :
 - les adresses IP source et destination
 - les ports source et destination
Certains protocoles comme BGP deviennent alors sensibles car ces informations peuvent être obtenues.

Un attaquant peut ainsi envoyer un paquet TCP contenant le drapeau Reset pour interrompre une session TCP active.

On peut noter que des paquets SYN peuvent aussi être utilisés, mais cette variante est moins efficace à cause des limitations généralement mises en place pour protéger contre les attaques synflood.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2005-0817

Symantec Enterprise Firewall : cache poisoning de DNSd

Synthèse de la vulnérabilité

Le proxy DNSd peut être corrompu et retourner des adresses IP incorrectes.
Produits concernés : SEF, SGS.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : serveur internet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 16/03/2005.
Références : 2005.03.15, BID-12818, CVE-2005-0817, V6-SEFDNSDDYNPOISON, VIGILANCE-VUL-4828.

Description de la vulnérabilité

Le proxy DNSd peut être configuré en serveur DNS cache ou en serveur DNS primaire. Le protocole DNS propose des mises à jour dynamiques permettant de modifier le contenu des tables du serveur DNS.

Le proxy DNSd ne filtre pas correctement les requêtes dynamiques. Un attaquant distant peut envoyer des requêtes de mise à jour afin de corrompre le cache.

Cette vulnérabilité permet ainsi à un attaquant distant de rediriger des flux vers l'un de ses serveurs.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 4250

Empoisonnement du cache DNSd

Synthèse de la vulnérabilité

Un attaquant disposant d'un serveur DNS peut empoisonner le cache DNS des firewalls Symantec.
Produits concernés : SEF, SGS.
Gravité : 3/4.
Conséquences : création/modification de données.
Provenance : serveur internet.
Confiance : source unique (2/5).
Date création : 29/06/2004.
Références : 2004.06.21, BID-10557, V6-SEFDNSAUTHPOISON, VIGILANCE-VUL-4250.

Description de la vulnérabilité

Les firewalls Symantec disposent d'un proxy DNS nommé DNSd.

Les données employées par le protocole DNS ont la structure suivante :
 - un entête
 - un ou plusieurs RR (Resource Record)
Il existe 4 types de RR:
 - question : contient l'information demandée (dans le cas d'une requête) ou l'information pour laquelle une réponse est faite
 - answer : réponse à la question
 - authoritative : serveur DNS autoritaire pour la réponse
 - additional : informations additionnelles, comme l'adresse IP du serveur DNS autoritaire

Par exemple, une réponse à la question "qu'elle est l'adresse de www.s.com" est de la forme :
 - entête
 - RR question : www.s.com A
 - RR answer : www.s.com A 1.1.1.1
 - RR authoritative : www.s.com NS ns.s.com
 - RR additional : ns.s.com A 1.1.1.2
Cet exemple indique que la machine ns.s.com est autoritaire pour répondre à une question concernant www.s.com.

L'exemple suivant est invalide :
 - entête
 - RR question : www.s.com A
 - RR answer : www.s.com A 1.1.1.1
 - RR authoritative : com NS ns.s.com
 - RR additional : ns.s.com A 1.1.1.2
En effet, le serveur DNS répond à la question concernant www.s.com, mais indique aussi qu'il est autoritaire pour la zone ".com".

Cependant, le proxy DNSd ne rejette pas ce type de réponse. Dans ce cas, il interrogera le serveur ns.s.com lors de ses prochaines requêtes concernant la zone ".com".

Un attaquant disposant d'un serveur DNS peut donc fournir des réponses illicites afin de corrompre le cache du firewall.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur SGS :