The Vigil@nce team watches public vulnerabilities impacting your computers, and then offers security solutions, a database and tools to fix them.

Computer vulnerabilities of SEF

vulnerability note CVE-2007-0447 CVE-2007-3699

Symantec AV, SGS, WS, Norton AV, IS, PF: vulnerabilities of RAR and CAB

Synthesis of the vulnerability

Two vulnerabilities of Symantec and Norton products lead to a denial of service or to code execution.
Impacted products: Norton Antivirus, Norton Internet Security, Raptor Firewall, Symantec AV, SEF, SGS, SWS.
Severity: 3/4.
Consequences: user access/rights, denial of service on service, denial of service on client.
Provenance: document.
Number of vulnerabilities in this bulletin: 2.
Creation date: 12/07/2007.
Revision date: 13/07/2007.
Identifiers: BID-24282, CVE-2007-0447, CVE-2007-3699, CVE-2007-3801-REJECT, SYM07-019, VIGILANCE-VUL-7004, ZDI-07-039, ZDI-07-040.

Description of the vulnerability

Two vulnerabilities of Symantec and Norton products are related to RAR or CAB files analysis.

An attacker can modify the PACK_SIZE field of RAR file header in order to create an infinite loop when file is parsed. [severity:3/4; CVE-2007-3699, CVE-2007-3801-REJECT, ZDI-07-039]

A malicious CAB archive can create an overflow leading to code execution. [severity:3/4; CVE-2007-0447, ZDI-07-040]
Full Vigil@nce bulletin... (Free trial)

vulnerability bulletin CVE-2006-2341

Symantec EF, SGS: internal IP disclosure via HTTP proxy

Synthesis of the vulnerability

An attacker can use a special request to HTTP proxy in order to obtain IP addresses hidden by a translation.
Impacted products: SEF, SGS.
Severity: 1/4.
Consequences: data reading.
Provenance: internet client.
Creation date: 11/05/2006.
Revision date: 12/05/2006.
Identifiers: BID-17936, CVE-2006-2341, SEC Consult SA-20060512-0, SYM06-009, VIGILANCE-VUL-5833.

Description of the vulnerability

When an IP address is translated, only its public value can be obtained from internet.

The HTTP proxy installed on firewall does not correctly manage malformed requests like:
  getABC/DEF http/1.0
In this case, a timeout occurs and proxy returns an error message like:
  http://192.168.1.1ABC/DEF
Using this request, attacker then obtains the private IP address of web servers located behind proxy.

This vulnerability therefore permits an attacker to obtain information to prepare an intrusion.
Full Vigil@nce bulletin... (Free trial)

vulnerability announce CVE-2005-3666 CVE-2005-3667 CVE-2005-3668

IPSec: vulnerabilities of some ISAKMP protocol implementations

Synthesis of the vulnerability

Several implementations of ISAKMP protocol are affected by the same vulnerabilities.
Impacted products: FW-1, VPN-1, ASA, Cisco Catalyst, IOS by Cisco, Cisco Router, Cisco VPN Concentrator, Debian, Fedora, Tru64 UNIX, HP-UX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, Mandriva Linux, NETASQ, NetBSD, openSUSE, Openswan, Solaris, RHEL, SEF, SGS, Unix (platform) ~ not comprehensive.
Severity: 3/4.
Consequences: user access/rights, denial of service on server, denial of service on service.
Provenance: internet client.
Number of vulnerabilities in this bulletin: 14.
Creation date: 14/11/2005.
Revision date: 22/11/2005.
Identifiers: 102040, 102246, 10310, 20060501-01-U, 273756, 273756/NISCC/ISAKMP, 6317027, 6348585, 68158, BID-15401, BID-15402, BID-15416, BID-15420, BID-15474, BID-15479, BID-15516, BID-15523, BID-17030, BID-17902, c00602119, CERTA-2005-AVI-458, CERTA-2005-AVI-504, CQ/68020, CSCed94829, CSCei14171, CSCei15053, CSCei19275, CSCei46258, CSCsb15296, CVE-2005-3666, CVE-2005-3667, CVE-2005-3668, CVE-2005-3669, CVE-2005-3670, CVE-2005-3671, CVE-2005-3672, CVE-2005-3673, CVE-2005-3674, CVE-2005-3675, CVE-2005-3732, CVE-2005-3733, CVE-2005-3768, CVE-2006-2298, DSA-965-1, FEDORA-2005-1092, FEDORA-2005-1093, FLSA:190941, FLSA-2006:190941, HPSBTU02100, HPSBUX02076, MDKSA-2006:020, NetBSD-SA2006-003, NISCC/ISAKMP/273756, PR/61076, PR/61779, PSN-2005-11-007, RHSA-2006:026, RHSA-2006:0267-01, SEF8.0-20051114-00, sk31316, SSRT050979, SUSE-SA:2005:070, SYM05-025, VIGILANCE-VUL-5352, VU#226364.

Description of the vulnerability

The IPSec protocol is used to create VPN. To create an IPSec tunnel, SA (Security Associations: algorithm, key size, etc.) has to be shared between both ends. The SA can be set by administrator, or automatically exchanged. In this later case, IKE protocol (Internet Key Exchange) is used. IKE is based on ISAKMP (and Oakley/Skeme). The ISAKMP protocol (Internet Security Association and Key Management Protocol) defines a generic frame (format and mechanism). ISAKMP uses two phases: setup a secure connection (phase1, main mode or aggressive mode), then this connection is used to exchange one or several SA (phase 2, quick mode). The aggressive mode uses less packets than main mode, and is therefore not recommended.

Several products incorrectly implement phase 1 of ISAKMP/IKEv1 protocol. They contain buffer overflow, format string or denial of service vulnerabilities.

Depending on products, these vulnerabilities lead to code execution or to a denial of service.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability alert CVE-2004-0790 CVE-2004-0791 CVE-2004-1060

TCP : déni de service à l'aide de paquets ICMP

Synthesis of the vulnerability

Un attaquant peut envoyer de nombreux paquets ICMP dans le but d'interrompre une session TCP.
Impacted products: ASA, Cisco Catalyst, Cisco CSS, IOS by Cisco, Cisco Router, Cisco VPN Concentrator, WebNS, BIG-IP Hardware, TMOS, Fedora, Tru64 UNIX, HP-UX, AIX, Juniper J-Series, Junos OS, Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows XP, OpenBSD, Solaris, Trusted Solaris, TCP protocol, Raptor Firewall, RHEL, RedHat Linux, SEF, SGS.
Severity: 2/4.
Consequences: denial of service on client.
Provenance: internet client.
Number of vulnerabilities in this bulletin: 9.
Creation date: 16/08/2004.
Revisions dates: 26/08/2004, 19/01/2005, 12/04/2005, 13/04/2005, 21/04/2005, 25/04/2005, 26/05/2005, 02/06/2005, 20/06/2005, 28/06/2005, 08/07/2005, 11/07/2005, 19/07/2005, 02/08/2005.
Identifiers: 101658, 2005.05.02, 5084452, 899480, 922819, BID-13124, BID-13215, BID-13367, c00571568, c00576017, CERTA-2005-AVI-023, CERTA-2005-AVI-135, CERTA-2005-AVI-155, CERTA-2006-AVI-444, CISCO20050412a, CVE-2004-0790, CVE-2004-0791, CVE-2004-1060, CVE-2005-0065, CVE-2005-0066, CVE-2005-0067, CVE-2005-0068, CVE-2005-1184, CVE-2005-1192, FLSA:157459-2, FLSA-2006:157459-1, FLSA-2006:157459-2, HP01137, HP01164, HP01210, HPSBTU01210, HPSBUX01137, HPSBUX01164, IY55949, IY55950, IY62006, IY63363, IY63364, IY63365, IY70026, IY70027, IY70028, K23440942, MS05-019, MS06-064, OpenBSD 34-027, OpenBSD 35-015, PSN-2004-09-009, RHSA-2005:043, SOL15792, SOL4583, SSRT4743, SSRT4884, SSRT5954, Sun Alert 57746, V6-TCPICMPERROR, VIGILANCE-VUL-4336, VU#222750.

Description of the vulnerability

Le protocole ICMPv4 gère les erreurs et informations relatives aux flux IPv4.

Lorsqu'une erreur est détectée par une machine du réseau, celle-ci envoie un paquet ICMPv4 d'erreur (destination unreachable, source quench (saturation), redirect, time exceeded (ttl), parameter problem, etc.). Les données de ce paquet contiennent le début du paquet ayant provoqué l'erreur, plus précisément :
 - l'entête IP du paquet
 - au moins les 64 premiers bits (8 octets) suivant l'entête IP

Les 64 premiers bits permettent de retrouver à quel flux appartient ce paquet. Par exemple, si le paquet erroné est de type TCP, ces 64 bits contiennent :
 - le port source (2 octets)
 - le port destination (2 octets)
 - le numéro de séquence (4 octets)

Lors de la réception d'un paquet ICMP correspondant à une session TCP en cours, la pile IP interrompt la connexion et retourne une erreur à l'application de l'utilisateur.

Cependant, certaines implémentations ne vérifient pas le numéro de séquence. Ainsi, un attaquant, connaissant les adresses IP et le numéro du port du service (22, 25, etc.), doit uniquement deviner le numéro du port du client. L'attaquant a donc une chance sur 65536 (ou moins si les caractéristiques d'assignation de numéro de port sont connues) de générer un paquet ICMP qui sera accepté, et qui interrompra la session.

Les implémentations vérifiant le numéro de séquence sont vulnérables à une attaque similaire à VIGILANCE-VUL-4128. La réussite de cette attaque est alors moins probable.

Cette vulnérabilité permet donc à un attaquant d'envoyer une série de paquets ICMP dans le but de mener un déni de service. Selon le type de l'erreur ICMP (injoignable ou saturation), deux conséquences sont possibles : arrêt de la session ou ralentissement du transfert.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability bulletin CVE-2004-0230

TCP : déni de service à l'aide de paquet Reset

Synthesis of the vulnerability

En envoyant des paquets contenant le drapeau Reset et en prédisant certaines informations, un attaquant peut interrompre des sessions TCP actives.
Impacted products: FabricOS, Brocade Network Advisor, Brocade vTM, FW-1, VPN-1, ASA, Cisco Cache Engine, Cisco Catalyst, Cisco CSS, IOS by Cisco, Cisco Router, Cisco VPN Concentrator, WebNS, FreeBSD, Tru64 UNIX, AIX, Juniper E-Series, Juniper J-Series, JUNOSe, Junos OS, NSMXpress, Windows 2000, Windows 2003, Windows 95, Windows 98, Windows ME, Windows XP, NetBSD, NetScreen Firewall, ScreenOS, OpenBSD, TCP protocol, Raptor Firewall, SUSE Linux Enterprise Desktop, SLES, SEF, SGS.
Severity: 3/4.
Consequences: denial of service on client.
Provenance: internet client.
Creation date: 21/04/2004.
Revisions dates: 22/04/2004, 23/04/2004, 26/04/2004, 27/04/2004, 28/04/2004, 03/05/2004, 07/05/2004, 11/05/2004, 15/07/2004, 06/12/2004, 24/12/2004, 18/02/2005, 13/04/2005, 03/05/2005, 12/05/2005, 19/07/2005.
Identifiers: 20040403-01-A, 2005.05.02, 236929, 50960, 50961, 58784, 899480, 922819, BID-10183, BSA-2016-005, CERTA-2004-AVI-138, CERTA-2004-AVI-140, CERTA-2004-AVI-143, CERTFR-2014-AVI-308, CERTFR-2017-AVI-034, CERTFR-2017-AVI-044, CERTFR-2017-AVI-054, CERTFR-2017-AVI-131, CISCO20040420a, CISCO20040420b, cisco-sa-20040420-tcp-ios, cisco-sa-20040420-tcp-nonios, CSCed27956, CSCed32349, CVE-2004-0230, FreeBSD-SA-14:19.tcp, HP01077, IY55949, IY55950, IY62006, IY63363, IY63364, IY63365, IY70026, IY70027, IY70028, JSA10638, MS05-019, MS06-064, NetBSD 2004-006, NetBSD-SA2004-006, Netscreen 58784, OpenBSD 34-019, OpenBSD 35-005, PSN-2012-08-686, PSN-2012-08-687, PSN-2012-08-688, PSN-2012-08-689, PSN-2012-08-690, SGI 20040403, SUSE-SU-2017:0333-1, SUSE-SU-2017:0437-1, SUSE-SU-2017:0494-1, SUSE-SU-2017:1102-1, V6-TCPRSTWINDOWDOS, VIGILANCE-VUL-4128, VU#415294.

Description of the vulnerability

L'entête TCP contient un champ window/fenêtre qui correspond à la taille du buffer de réception de la machine ayant émis le paquet. Ainsi si certains paquets arrivent dans le désordre la machine peut les stocker en attente de réception des paquets précédents.

Lorsqu'une connexion TCP est établie, elle peut se terminer de deux manières :
 - les entités s'échangent des paquets contenant le drapeau Fin actif. Dans ce cas, les numéros de séquence (et d'acquittement car le Ack est nécessaire) doivent correspondre exactement.
 - l'une des entités envoie un paquet contenant le drapeau Reset actif. Dans ce cas (drapeau Ack non actif), seul le numéro de séquence doit correspondre approximativement. En effet, il doit se situer dans la fenêtre de réception.

Ainsi, au lieu de deviner un numéro de séquence parmi 2^32 nombres, l'attaquant doit simplement envoyer 2^32/fenêtre paquets Reset. Par exemple si la taille de la fenêtre est 32k, l'attaquant doit envoyer 2^32/32k = 131072 paquets.

Il faut noter que pour mener ce déni de service utilisant un paquet TCP Reset, l'attaquant doit connaître :
 - les adresses IP source et destination
 - les ports source et destination
Certains protocoles comme BGP deviennent alors sensibles car ces informations peuvent être obtenues.

Un attaquant peut ainsi envoyer un paquet TCP contenant le drapeau Reset pour interrompre une session TCP active.

On peut noter que des paquets SYN peuvent aussi être utilisés, mais cette variante est moins efficace à cause des limitations généralement mises en place pour protéger contre les attaques synflood.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability bulletin CVE-2005-0817

Symantec Enterprise Firewall : cache poisoning de DNSd

Synthesis of the vulnerability

Le proxy DNSd peut être corrompu et retourner des adresses IP incorrectes.
Impacted products: SEF, SGS.
Severity: 2/4.
Consequences: data flow.
Provenance: internet server.
Creation date: 16/03/2005.
Identifiers: 2005.03.15, BID-12818, CVE-2005-0817, V6-SEFDNSDDYNPOISON, VIGILANCE-VUL-4828.

Description of the vulnerability

Le proxy DNSd peut être configuré en serveur DNS cache ou en serveur DNS primaire. Le protocole DNS propose des mises à jour dynamiques permettant de modifier le contenu des tables du serveur DNS.

Le proxy DNSd ne filtre pas correctement les requêtes dynamiques. Un attaquant distant peut envoyer des requêtes de mise à jour afin de corrompre le cache.

Cette vulnérabilité permet ainsi à un attaquant distant de rediriger des flux vers l'un de ses serveurs.
Full Vigil@nce bulletin... (Free trial)

vulnerability CVE-2004-1029 CVE-2004-1145

Java Plug-in : exécution de commandes

Synthesis of the vulnerability

Le Java Plug-in de Sun permet à un attaquant de créer une page exécutant du code sur la machine de l'utilisateur.
Impacted products: Fedora, HP-UX, Mandriva Linux, IE, Firefox, Mozilla Suite, openSUSE, Java Oracle, RHEL, SEF, Unix (platform) ~ not comprehensive.
Severity: 3/4.
Consequences: user access/rights.
Provenance: internet server.
Number of vulnerabilities in this bulletin: 2.
Creation date: 23/11/2004.
Revisions dates: 24/11/2004, 02/12/2004, 21/12/2004, 23/12/2004, 29/12/2004, 05/01/2005, 07/01/2005, 20/01/2005, 26/01/2005.
Identifiers: advisory-20041220-1, BID-11726, BID-12046, BID-12317, CERTA-2004-AVI-377, CERTA-2004-AVI-413, CERTA-2005-AVI-028, CVE-2004-1029, CVE-2004-1145, FEDORA-2005-063, FEDORA-2005-064, HP01100, HPSBUX01214, iDEFENSE Security Advisory 11.22.04, MDKSA-2004:154, RHSA-2005:065, SSRT051003, Sun Alert 57591, Sun Alert 57708, Sun Alert ID 57591, Sun Alert ID 57708, Sun BugID 5045568, SUSE-SR:2005:002, SYM05-001, V6-WEBJAVASCRIPTSANDBOX, VIGILANCE-VUL-4530, VU#420222, VU#760344.

Description of the vulnerability

La technologie Java Plug-in permet d'exécuter des applets Java dans un navigateur web.

Les fonctionnalités disponibles sont restreintes à l'aide d'une "sandbox" afin que l'applet ne puisse pas accéder au système. Seules les applets signées et acceptées peuvent utiliser les fonctionnalités privilégiées (lecture de fichier, exécution de programme, etc.).

Cependant, ce contrôle d'accès n'est pas effectué si un script Javascript accède à une classe Java.

Un attaquant peut donc créer un script Javascript utilisant une fonctionnalité Java privilégiée.

Cette vulnérabilité permet ainsi à un attaquant d'exécuter du code sur la machine de l'utilisateur, consultant une page web illicite.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability announce CVE-2004-0369

Buffer overflow de isakmpd

Synthesis of the vulnerability

Un attaquant distant peut provoquer un débordement sur isakmpd, afin de mener un déni de service ou de faire exécuter du code.
Impacted products: SEF.
Severity: 4/4.
Consequences: privileged access/rights, denial of service on service.
Provenance: internet server.
Creation date: 25/08/2004.
Revision date: 27/08/2004.
Identifiers: 181, 2004.08.26, BID-11039, CERTA-2004-AVI-280, CVE-2004-0369, V6-SEFISAKMPDDOS, VIGILANCE-VUL-4357.

Description of the vulnerability

Le protocole IPSec permet de créer des VPN. L'établissement d'un tunnel IPSec nécessite de disposer de SA (Security Associations: algorithme, taille de clé, etc.) entre les deux entités. Les SA peuvent être configurés par l'administrateur, ou automatiquement déterminés. Dans ce cas, le protocole d'échange IKE (Internet Key Exchange) est utilisé. IKE est basé sur ISAKMP (ainsi que sur Oakley et Skeme).

Le protocole ISAKMP (Internet Security Association and Key Management Protocol) définit un cadre générique (format et mécanismes). Le démon isakmpd implémente ISAKMP.

L'implémentation ISAKMP du firewall Symantec Enterprise Firewall repose sur la bibliothèque LibKmp de Entrust.

Cette bibliothèque ne vérifie pas correctement certaines données reçues, ce qui permet de corrompre la mémoire.

Un attaquant distant peut donc envoyer un paquet ISAKMP illicite dans le but de mener un déni de service et éventuellement de faire exécuter du code.
Full Vigil@nce bulletin... (Free trial)

vulnerability 4250

Empoisonnement du cache DNSd

Synthesis of the vulnerability

Un attaquant disposant d'un serveur DNS peut empoisonner le cache DNS des firewalls Symantec.
Impacted products: SEF, SGS.
Severity: 3/4.
Consequences: data creation/edition.
Provenance: internet server.
Creation date: 29/06/2004.
Identifiers: 2004.06.21, BID-10557, V6-SEFDNSAUTHPOISON, VIGILANCE-VUL-4250.

Description of the vulnerability

Les firewalls Symantec disposent d'un proxy DNS nommé DNSd.

Les données employées par le protocole DNS ont la structure suivante :
 - un entête
 - un ou plusieurs RR (Resource Record)
Il existe 4 types de RR:
 - question : contient l'information demandée (dans le cas d'une requête) ou l'information pour laquelle une réponse est faite
 - answer : réponse à la question
 - authoritative : serveur DNS autoritaire pour la réponse
 - additional : informations additionnelles, comme l'adresse IP du serveur DNS autoritaire

Par exemple, une réponse à la question "qu'elle est l'adresse de www.s.com" est de la forme :
 - entête
 - RR question : www.s.com A
 - RR answer : www.s.com A 1.1.1.1
 - RR authoritative : www.s.com NS ns.s.com
 - RR additional : ns.s.com A 1.1.1.2
Cet exemple indique que la machine ns.s.com est autoritaire pour répondre à une question concernant www.s.com.

L'exemple suivant est invalide :
 - entête
 - RR question : www.s.com A
 - RR answer : www.s.com A 1.1.1.1
 - RR authoritative : com NS ns.s.com
 - RR additional : ns.s.com A 1.1.1.2
En effet, le serveur DNS répond à la question concernant www.s.com, mais indique aussi qu'il est autoritaire pour la zone ".com".

Cependant, le proxy DNSd ne rejette pas ce type de réponse. Dans ce cas, il interrogera le serveur ns.s.com lors de ses prochaines requêtes concernant la zone ".com".

Un attaquant disposant d'un serveur DNS peut donc fournir des réponses illicites afin de corrompre le cache du firewall.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability bulletin 3958

Multiples vulnérabilités de SEF

Synthesis of the vulnerability

Plusieurs vulnérabilités de Symantec Enterprise Firewall permettent par exemple à un attaquant de mener un déni de service.
Impacted products: SEF.
Severity: 2/4.
Consequences: data flow, denial of service on service.
Provenance: internet server.
Creation date: 16/01/2004.
Identifiers: V6-SEF20031205, VIGILANCE-VUL-3958.

Description of the vulnerability

Un patch cumulatif est disponible pour Symantec Enterprise Firewall.

Il corrige notamment :
 - httpd : gestion incorrecte des requêtes HTTP GET
 - dnsd : déni de service lorsque l'option "log failed dns requests is enabled for dnsd proxy" est activée
 - smtpd : lorsque l'option "Pass non-ASCII" est activée, la validation des caractères est incorrecte
 - ftpd : vulnérabilité relative aux transferts en mode actif
Full Vigil@nce bulletin... (Free trial)
Our database contains other pages. You can request a free trial to read them.