ISS BlackICE PC Protection Update Cross Site Scripting

Eine problematische Schwachstelle wurde in ISS BlackICE PC Protection ausgemacht. Es geht hierbei um eine nicht näher spezifizierte Funktion der Komponente Update Handler. Durch Beeinflussen mit unbekannten Daten kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-80. Der Fehler wurde am 22.09.2003 von Marc Ruef durch scip AG (Website) veröffentlicht. Das Advisory kann von scip.ch heruntergeladen werden. Die Identifikation der Schwachstelle findet als CVE-2003-5003 statt. Der Angriff kann über das Netzwerk angegangen werden. Es sind keine technische Details verfügbar. Desweiteren ist ein Exploit verfügbar. Der Exploit steht zur öffentlichen Verfügung. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1059.007. Er gilt als proof-of-concept. Der Exploit wird unter update.networkice.com zur Verfügung gestellt. Während seiner Zeit als 0-Day erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 11492 (Sambar Server Multiple Script XSS)herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Dieser kann von update.networkice.com bezogen werden. Als bestmögliche Massnahme wird das Deaktivieren der betroffenen Komponente empfohlen. Das Erscheinen einer Gegenmassnahme geschah schon vor und nicht nach der Veröffentlichung der Schwachstelle. Unter anderem wird der Fehler auch in in anderen Verwundbarkeitsdatenbanken dokumentiert: Tenable (11492).

Feld08.10.2018 14:5308.03.2021 18:1128.01.2022 12:38
smssArchivArchivArchiv
vendorISSISSISS
nameBlackICE PC ProtectionBlackICE PC ProtectionBlackICE PC Protection
componentUpdate HandlerUpdate HandlerUpdate Handler
risk111
simplicity808080
popularity808080
cvss2_vuldb_basescore5.15.15.1
cvss2_vuldb_tempscore4.64.64.6
cvss2_vuldb_avNNN
cvss2_vuldb_acHHH
cvss2_vuldb_auNNN
cvss2_vuldb_ciPPP
cvss2_vuldb_iiPPP
cvss2_vuldb_aiPPP
cvss3_meta_basescore5.05.05.0
cvss3_meta_tempscore4.74.74.7
cvss3_vuldb_basescore5.05.05.0
cvss3_vuldb_tempscore4.74.74.7
cvss3_vuldb_avNNN
cvss3_vuldb_acHHH
cvss3_vuldb_prNNN
cvss3_vuldb_uiRRR
cvss3_vuldb_sUUU
cvss3_vuldb_cLLL
cvss3_vuldb_iLLL
cvss3_vuldb_aLLL
date1064188800 (22.09.2003)1064188800 (22.09.2003)1064188800 (22.09.2003)
urlhttps://www.scip.ch/publikationen/advisories/2003-03-iss_blackice_pc_protection_update_cross_site_scripting/scip_advisory_2003-03-iss_blackice_pc_protection_update_cross_site_scripting.txthttps://www.scip.ch/publikationen/advisories/2003-03-iss_blackice_pc_protection_update_cross_site_scripting/scip_advisory_2003-03-iss_blackice_pc_protection_update_cross_site_scripting.txthttps://www.scip.ch/publikationen/advisories/2003-03-iss_blackice_pc_protection_update_cross_site_scripting/scip_advisory_2003-03-iss_blackice_pc_protection_update_cross_site_scripting.txt
person_nameMarc RuefMarc RuefMarc Ruef
person_mailmaru@****.**maru@****.**maru@****.**
person_websitehttps://www.scip.chhttps://www.scip.chhttps://www.scip.ch
company_namescip AGscip AGscip AG
availability111
publicity111
urlhttp://update.networkice.com/cgi/update.exe?key=<h1>scip_AG</h1><script>alert('www.scip.ch')</script>&ver=3.6.cbr&iDate=2003-01-29%2011:13:57&.exehttp://update.networkice.com/cgi/update.exe?key=<h1>scip_AG</h1><script>alert('www.scip.ch')</script>&ver=3.6.cbr&iDate=2003-01-29%2011:13:57&.exehttp://update.networkice.com/cgi/update.exe?key=<h1>scip_AG</h1><script>alert('www.scip.ch')</script>&ver=3.6.cbr&iDate=2003-01-29%2011:13:57&.exe
languageWindows BinaryWindows BinaryWindows Binary
price_0day$5k-$25k$5k-$25k$5k-$25k
nameDisableDisableDisable
patch_urlhttp://update.networkice.comhttp://update.networkice.comhttp://update.networkice.com
nessus_id114921149211492
seealso93 104 107 157 140 141 139 142 177 186 187 242 267 311 334 335 360 388 397 412 469 482 8873493 104 107 157 140 141 139 142 177 186 187 242 267 311 334 335 360 388 397 412 469 482 8873493 104 107 157 140 141 139 142 177 186 187 242 267 311 334 335 360 388 397 412 469 482 88734
titleISS BlackICE PC Protection Update Cross Site ScriptingISS BlackICE PC Protection Update Cross Site ScriptingISS BlackICE PC Protection Update Cross Site Scripting
affectedISS BlackICE PC ProtectionISS BlackICE PC ProtectionISS BlackICE PC Protection
descriptionDie BlackICE PC Protection (früher unter dem Namen BlackICE Defender bekannt) ist eine hostbasierendes, für Workstations zugeschnittenes Intrusion Detection-System. Die kommerzielle Lösung wird von der Firma Internet Security Systems (ISS) betreut und vertrieben. Die Software verfügt über einen automatisierbaren Update-Mechanismus für die Signaturen und das Produkt ansich. Dafür wird eine HTTP-Verbindung über den TCP-Port 80 zum System http://update.networkice.com hergestellt. In dieser GET-Anfrage werden die grundsätzlichen Daten der Installation übertragen: Lizenznummer und installierte Software-Version. Ist kein neues Update vorhanden, wird auf der rudimentären Webseite der Benutzer darauf hingewiesen. Dabei werden im HTML-Dokument auch die übertragenen Informationen widergegeben. Da keine Sonderzeichen herausgefiltert werden, ist darüber eine Cross Site Scripting Attacke möglich. BlackICE PC Protection erkennt im Normalfall Cross Site Scripting-Zugriffe. Beim Zugriff auf den Update-Server scheint dies jedoch nicht mehr gegeben zu sein. Der technische Support von BlackICE PC Protection wurde am 22. September 2003 um 10:15 Uhr durch das Web-Formular auf die Designschwäche hingewiesen. Als Workaround wird empfohlen, keinen Links zu http://update.networkice.com aus nicht vertrauenswürdiger Quelle zu folgen und bestmöglich Scripting im Webbrowser zu deaktivieren.Die BlackICE PC Protection (früher unter dem Namen BlackICE Defender bekannt) ist eine hostbasierendes, für Workstations zugeschnittenes Intrusion Detection-System. Die kommerzielle Lösung wird von der Firma Internet Security Systems (ISS) betreut und vertrieben. Die Software verfügt über einen automatisierbaren Update-Mechanismus für die Signaturen und das Produkt ansich. Dafür wird eine HTTP-Verbindung über den TCP-Port 80 zum System http://update.networkice.com hergestellt. In dieser GET-Anfrage werden die grundsätzlichen Daten der Installation übertragen: Lizenznummer und installierte Software-Version. Ist kein neues Update vorhanden, wird auf der rudimentären Webseite der Benutzer darauf hingewiesen. Dabei werden im HTML-Dokument auch die übertragenen Informationen widergegeben. Da keine Sonderzeichen herausgefiltert werden, ist darüber eine Cross Site Scripting Attacke möglich. BlackICE PC Protection erkennt im Normalfall Cross Site Scripting-Zugriffe. Beim Zugriff auf den Update-Server scheint dies jedoch nicht mehr gegeben zu sein. Der technische Support von BlackICE PC Protection wurde am 22. September 2003 um 10:15 Uhr durch das Web-Formular auf die Designschwäche hingewiesen. Als Workaround wird empfohlen, keinen Links zu http://update.networkice.com aus nicht vertrauenswürdiger Quelle zu folgen und bestmöglich Scripting im Webbrowser zu deaktivieren.Die BlackICE PC Protection (früher unter dem Namen BlackICE Defender bekannt) ist eine hostbasierendes, für Workstations zugeschnittenes Intrusion Detection-System. Die kommerzielle Lösung wird von der Firma Internet Security Systems (ISS) betreut und vertrieben. Die Software verfügt über einen automatisierbaren Update-Mechanismus für die Signaturen und das Produkt ansich. Dafür wird eine HTTP-Verbindung über den TCP-Port 80 zum System http://update.networkice.com hergestellt. In dieser GET-Anfrage werden die grundsätzlichen Daten der Installation übertragen: Lizenznummer und installierte Software-Version. Ist kein neues Update vorhanden, wird auf der rudimentären Webseite der Benutzer darauf hingewiesen. Dabei werden im HTML-Dokument auch die übertragenen Informationen widergegeben. Da keine Sonderzeichen herausgefiltert werden, ist darüber eine Cross Site Scripting Attacke möglich. BlackICE PC Protection erkennt im Normalfall Cross Site Scripting-Zugriffe. Beim Zugriff auf den Update-Server scheint dies jedoch nicht mehr gegeben zu sein. Der technische Support von BlackICE PC Protection wurde am 22. September 2003 um 10:15 Uhr durch das Web-Formular auf die Designschwäche hingewiesen. Als Workaround wird empfohlen, keinen Links zu http://update.networkice.com aus nicht vertrauenswürdiger Quelle zu folgen und bestmöglich Scripting im Webbrowser zu deaktivieren.
expertISS BlackICE PC Protection weist eine sehr simple Update-Funktionalität auf. Diese ist aus Sicherheitssicht fragwürdig, weil sensitive Informationen ohne Verschlüsselung übertragen werden. Zudem weist der Update-Mechanismus auf der Webseite eine Cross Site Scripting-Schwachstelle auf. Es bleibt abzuwarten, wie ISS diese Schwachstelle einstufen und behandeln werden wird.ISS BlackICE PC Protection weist eine sehr simple Update-Funktionalität auf. Diese ist aus Sicherheitssicht fragwürdig, weil sensitive Informationen ohne Verschlüsselung übertragen werden. Zudem weist der Update-Mechanismus auf der Webseite eine Cross Site Scripting-Schwachstelle auf. Es bleibt abzuwarten, wie ISS diese Schwachstelle einstufen und behandeln werden wird.ISS BlackICE PC Protection weist eine sehr simple Update-Funktionalität auf. Diese ist aus Sicherheitssicht fragwürdig, weil sensitive Informationen ohne Verschlüsselung übertragen werden. Zudem weist der Update-Mechanismus auf der Webseite eine Cross Site Scripting-Schwachstelle auf. Es bleibt abzuwarten, wie ISS diese Schwachstelle einstufen und behandeln werden wird.
locationWebsiteWebsiteWebsite
cvss2_vuldb_ePOCPOCPOC
cvss2_vuldb_rlUUU
cvss2_vuldb_rcNDNDND
cvss3_vuldb_ePPP
cvss3_vuldb_rlUUU
cvss3_vuldb_rcXXX
nessus_nameSambar Server Multiple Script XSSSambar Server Multiple Script XSSSambar Server Multiple Script XSS
nessus_familyCGI abuses : XSSCGI abuses : XSSCGI abuses : XSS
cwe80 (Cross Site Scripting)80 (Cross Site Scripting)80 (Cross Site Scripting)
nessus_filenamesambar_xss.naslsambar_xss.nasl
nessus_riskMediumMediumMedium
cveCVE-2003-5003
cve_cnaVulDB
responsibleVulDB
eol1

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!