ISS BlackICE PC Protection Update cross site scripting

A vulnerability was found in ISS BlackICE PC Protection. It has been rated as problematic. Affected by this issue is some unknown functionality of the component Update Handler. The manipulation leads to basic cross site scripting. Using CWE to declare the problem leads to CWE-80. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. The weakness was released 09/22/2003 by Marc Ruef with scip AG (Website). The advisory is shared for download at scip.ch. This vulnerability is handled as CVE-2003-5003. The attack may be launched remotely. There are no technical details available. Furthermore, there is an exploit available. The exploit has been disclosed to the public and may be used. The current price for an exploit might be approx. USD $0-$5k at the moment. The MITRE ATT&CK project declares the attack technique as T1059.007. It is declared as proof-of-concept. The exploit is available at update.networkice.com. As 0-day the estimated underground price was around $5k-$25k. The vulnerability scanner Nessus provides a plugin with the ID 11492 (Sambar Server Multiple Script XSS), which helps to determine the existence of the flaw in a target environment. The bugfix is ready for download at update.networkice.com. It is recommended to disable the affected component. A possible mitigation has been published even before and not after the disclosure of the vulnerability. The vulnerability is also documented other vulnerability databases: Tenable (11492).

Field10/08/2018 14:5303/08/2021 18:1101/28/2022 12:38
smssArchivArchivArchiv
vendorISSISSISS
nameBlackICE PC ProtectionBlackICE PC ProtectionBlackICE PC Protection
componentUpdate HandlerUpdate HandlerUpdate Handler
risk111
simplicity808080
popularity808080
cvss2_vuldb_basescore5.15.15.1
cvss2_vuldb_tempscore4.64.64.6
cvss2_vuldb_avNNN
cvss2_vuldb_acHHH
cvss2_vuldb_auNNN
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss3_meta_basescore5.05.05.0
cvss3_meta_tempscore4.74.74.7
cvss3_vuldb_basescore5.05.05.0
cvss3_vuldb_tempscore4.74.74.7
cvss3_vuldb_avNNN
cvss3_vuldb_acHHH
cvss3_vuldb_prNNN
cvss3_vuldb_uiRRR
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
date1064188800 (09/22/2003)1064188800 (09/22/2003)1064188800 (09/22/2003)
urlhttps://www.scip.ch/publikationen/advisories/2003-03-iss_blackice_pc_protection_update_cross_site_scripting/scip_advisory_2003-03-iss_blackice_pc_protection_update_cross_site_scripting.txthttps://www.scip.ch/publikationen/advisories/2003-03-iss_blackice_pc_protection_update_cross_site_scripting/scip_advisory_2003-03-iss_blackice_pc_protection_update_cross_site_scripting.txthttps://www.scip.ch/publikationen/advisories/2003-03-iss_blackice_pc_protection_update_cross_site_scripting/scip_advisory_2003-03-iss_blackice_pc_protection_update_cross_site_scripting.txt
person_nameMarc RuefMarc RuefMarc Ruef
person_mailmaru@****.**maru@****.**maru@****.**
person_websitehttps://www.scip.chhttps://www.scip.chhttps://www.scip.ch
company_namescip AGscip AGscip AG
availability111
publicity111
urlhttp://update.networkice.com/cgi/update.exe?key=<h1>scip_AG</h1><script>alert('www.scip.ch')</script>&ver=3.6.cbr&iDate=2003-01-29%2011:13:57&.exehttp://update.networkice.com/cgi/update.exe?key=<h1>scip_AG</h1><script>alert('www.scip.ch')</script>&ver=3.6.cbr&iDate=2003-01-29%2011:13:57&.exehttp://update.networkice.com/cgi/update.exe?key=<h1>scip_AG</h1><script>alert('www.scip.ch')</script>&ver=3.6.cbr&iDate=2003-01-29%2011:13:57&.exe
languageWindows BinaryWindows BinaryWindows Binary
price_0day$5k-$25k$5k-$25k$5k-$25k
nameDisableDisableDisable
patch_urlhttp://update.networkice.comhttp://update.networkice.comhttp://update.networkice.com
nessus_id114921149211492
seealso93 104 107 157 140 141 139 142 177 186 187 242 267 311 334 335 360 388 397 412 469 482 8873493 104 107 157 140 141 139 142 177 186 187 242 267 311 334 335 360 388 397 412 469 482 8873493 104 107 157 140 141 139 142 177 186 187 242 267 311 334 335 360 388 397 412 469 482 88734
titleISS BlackICE PC Protection Update Cross Site ScriptingISS BlackICE PC Protection Update Cross Site ScriptingISS BlackICE PC Protection Update Cross Site Scripting
affectedISS BlackICE PC ProtectionISS BlackICE PC ProtectionISS BlackICE PC Protection
descriptionDie BlackICE PC Protection (früher unter dem Namen BlackICE Defender bekannt) ist eine hostbasierendes, für Workstations zugeschnittenes Intrusion Detection-System. Die kommerzielle Lösung wird von der Firma Internet Security Systems (ISS) betreut und vertrieben. Die Software verfügt über einen automatisierbaren Update-Mechanismus für die Signaturen und das Produkt ansich. Dafür wird eine HTTP-Verbindung über den TCP-Port 80 zum System http://update.networkice.com hergestellt. In dieser GET-Anfrage werden die grundsätzlichen Daten der Installation übertragen: Lizenznummer und installierte Software-Version. Ist kein neues Update vorhanden, wird auf der rudimentären Webseite der Benutzer darauf hingewiesen. Dabei werden im HTML-Dokument auch die übertragenen Informationen widergegeben. Da keine Sonderzeichen herausgefiltert werden, ist darüber eine Cross Site Scripting Attacke möglich. BlackICE PC Protection erkennt im Normalfall Cross Site Scripting-Zugriffe. Beim Zugriff auf den Update-Server scheint dies jedoch nicht mehr gegeben zu sein. Der technische Support von BlackICE PC Protection wurde am 22. September 2003 um 10:15 Uhr durch das Web-Formular auf die Designschwäche hingewiesen. Als Workaround wird empfohlen, keinen Links zu http://update.networkice.com aus nicht vertrauenswürdiger Quelle zu folgen und bestmöglich Scripting im Webbrowser zu deaktivieren.Die BlackICE PC Protection (früher unter dem Namen BlackICE Defender bekannt) ist eine hostbasierendes, für Workstations zugeschnittenes Intrusion Detection-System. Die kommerzielle Lösung wird von der Firma Internet Security Systems (ISS) betreut und vertrieben. Die Software verfügt über einen automatisierbaren Update-Mechanismus für die Signaturen und das Produkt ansich. Dafür wird eine HTTP-Verbindung über den TCP-Port 80 zum System http://update.networkice.com hergestellt. In dieser GET-Anfrage werden die grundsätzlichen Daten der Installation übertragen: Lizenznummer und installierte Software-Version. Ist kein neues Update vorhanden, wird auf der rudimentären Webseite der Benutzer darauf hingewiesen. Dabei werden im HTML-Dokument auch die übertragenen Informationen widergegeben. Da keine Sonderzeichen herausgefiltert werden, ist darüber eine Cross Site Scripting Attacke möglich. BlackICE PC Protection erkennt im Normalfall Cross Site Scripting-Zugriffe. Beim Zugriff auf den Update-Server scheint dies jedoch nicht mehr gegeben zu sein. Der technische Support von BlackICE PC Protection wurde am 22. September 2003 um 10:15 Uhr durch das Web-Formular auf die Designschwäche hingewiesen. Als Workaround wird empfohlen, keinen Links zu http://update.networkice.com aus nicht vertrauenswürdiger Quelle zu folgen und bestmöglich Scripting im Webbrowser zu deaktivieren.Die BlackICE PC Protection (früher unter dem Namen BlackICE Defender bekannt) ist eine hostbasierendes, für Workstations zugeschnittenes Intrusion Detection-System. Die kommerzielle Lösung wird von der Firma Internet Security Systems (ISS) betreut und vertrieben. Die Software verfügt über einen automatisierbaren Update-Mechanismus für die Signaturen und das Produkt ansich. Dafür wird eine HTTP-Verbindung über den TCP-Port 80 zum System http://update.networkice.com hergestellt. In dieser GET-Anfrage werden die grundsätzlichen Daten der Installation übertragen: Lizenznummer und installierte Software-Version. Ist kein neues Update vorhanden, wird auf der rudimentären Webseite der Benutzer darauf hingewiesen. Dabei werden im HTML-Dokument auch die übertragenen Informationen widergegeben. Da keine Sonderzeichen herausgefiltert werden, ist darüber eine Cross Site Scripting Attacke möglich. BlackICE PC Protection erkennt im Normalfall Cross Site Scripting-Zugriffe. Beim Zugriff auf den Update-Server scheint dies jedoch nicht mehr gegeben zu sein. Der technische Support von BlackICE PC Protection wurde am 22. September 2003 um 10:15 Uhr durch das Web-Formular auf die Designschwäche hingewiesen. Als Workaround wird empfohlen, keinen Links zu http://update.networkice.com aus nicht vertrauenswürdiger Quelle zu folgen und bestmöglich Scripting im Webbrowser zu deaktivieren.
expertISS BlackICE PC Protection weist eine sehr simple Update-Funktionalität auf. Diese ist aus Sicherheitssicht fragwürdig, weil sensitive Informationen ohne Verschlüsselung übertragen werden. Zudem weist der Update-Mechanismus auf der Webseite eine Cross Site Scripting-Schwachstelle auf. Es bleibt abzuwarten, wie ISS diese Schwachstelle einstufen und behandeln werden wird.ISS BlackICE PC Protection weist eine sehr simple Update-Funktionalität auf. Diese ist aus Sicherheitssicht fragwürdig, weil sensitive Informationen ohne Verschlüsselung übertragen werden. Zudem weist der Update-Mechanismus auf der Webseite eine Cross Site Scripting-Schwachstelle auf. Es bleibt abzuwarten, wie ISS diese Schwachstelle einstufen und behandeln werden wird.ISS BlackICE PC Protection weist eine sehr simple Update-Funktionalität auf. Diese ist aus Sicherheitssicht fragwürdig, weil sensitive Informationen ohne Verschlüsselung übertragen werden. Zudem weist der Update-Mechanismus auf der Webseite eine Cross Site Scripting-Schwachstelle auf. Es bleibt abzuwarten, wie ISS diese Schwachstelle einstufen und behandeln werden wird.
locationWebsiteWebsiteWebsite
cvss2_vuldb_ePOCPOCPOC
cvss2_vuldb_rlUUU
cvss2_vuldb_rcNDNDND
cvss3_vuldb_ePPP
cvss3_vuldb_rlUUU
cvss3_vuldb_rcXXX
nessus_nameSambar Server Multiple Script XSSSambar Server Multiple Script XSSSambar Server Multiple Script XSS
nessus_familyCGI abuses : XSSCGI abuses : XSSCGI abuses : XSS
cwe80 (cross site scripting)80 (cross site scripting)80 (cross site scripting)
nessus_filenamesambar_xss.naslsambar_xss.nasl
nessus_riskMediumMediumMedium
cveCVE-2003-5003
cve_cnaVulDB
responsibleVulDB
eol1

PreviousOverviewNext