Vulnerability ID 2730

Trend Micro OfficeScan bis 7.3 RAR Archive Header Handler Denial of Service

Trend Micro
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
7.2$0-$1k

TrendMicro bietet eine Vielzahl verschiedener Antiviren-Lösung kommerziellen Hintergrunds, die mitunter ebenfalls im professionellen Umfeld eingesetzt werden. Über ein iDEFENSE-Advisory wurde eine Schwachstelle in den Produkten TrendMicro PC Cillin Internet Security 2006 bis 14.x, TrendMicro Office Scan bis 7.3 und TrendMicro Server Protect bis 5.58 bekannt gemacht. Durch ein korruptes RAR-Archiv könne eine Denial of Service-Attacke realisiert werden. Das Problem besteht, wenn die Header-Informationen head_size und pack_size auf 0 gesetzt werden. Dies führt zu einem kompletten Aufbrauchen der gesamten CPU-Leistung. Weitere Details oder ein Exploit sind nicht bekannt. TrendMicro hat das Problem im Support-Artikel 17609 aufgegriffen und stellt einige Patches bereit. The vulnerability is also documented in the databases at SecurityFocus (BID 20816), Secunia (SA23321) and SecurityTracker (ID 1017132). The entries 2641, 2642, 2643 and 2644 are pretty similar.

Probleme bei der Verarbeitung korrupter Dateien und vor allem Archiven ist nichts neues. Es scheint, als müssten die Entwickler von Antiviren-Lösungen in der Hinsicht von weit mehr defensiver programmieren. Es ist nur eine Frage der Zeit, bis aktuelle Schädlinge, vor allem Mail-Viren, die Schwachstelle für sich ausnutzen wollen. Das Umsetzen von Gegenmassnahmen ist deshalb dringendst zu empfehlen.

CVSSv3

Base Score: 7.5 [?]
Temp Score: 7.2 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:X/RL:O/RC:C [?]
Zuverlässigkeit: High

CVSSv2

Base Score: 7.1 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C) [?]
Temp Score: 6.2 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: High

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Denial of Service (CWE-399)
Auswirkungen: Komponenten abstürzen lassen
Lokal: Nein
Remote: Ja

Verfügbarkeit: Ja
Zugang: öffentlich

Aktuelle Preisschätzung: $5k-$10k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix

Patch: sophos.com

Timeline

30.10.2006 SecurityFocus Eintrag zugewiesen
30.10.2006 +0 Tage SecurityTracker Eintrag erstellt
01.11.2006 +2 Tage CVE zugewiesen
01.11.2006 +0 Tage NVD veröffentlicht
11.12.2006 +40 Tage Advisory veröffentlicht
14.12.2006 +3 Tage VulDB Eintrag erstellt
02.12.2015 +3275 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: labs.idefense.com
Person: Titon/Damian Put/eine anonyme Person (Titon)
Firma: iDEFENSE
Status: Bestätigt
Bestätigung: sophos.com

CVE: CVE-2006-5645 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityFocus: 20816 - Sophos Antivirus Multiple Denial of Service and Memory Corruption Vulnerabilities
Secunia: 23321 - Trend Micro Products RAR Processing Denial Of Service, Moderately Critical
SecurityTracker: 1017132 - Sophos Anti-Virus Bugs in Processing Petite Archives, RAR Archives, and CHM Files Let Remote Users Deny Service
Vupen: ADV-2006-4239

Heise: 82375
Siehe auch: 2641, 2642, 2643, 2644, 2729, 2731, 33068, 33069, 33070

Eintrag

Erstellt: 14.12.2006
Aktualisierung: 02.12.2015
Eintrag: 89.9% komplett