| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Die Firma Kerio entwickelte eine für Windows frei erhältliche Personal Firewall. Ein Pufferüberlauf wurde im Prozess der Authentisierung des Administrators gefunden. Wenn sich der Administrator mit der Firewall verbindet, wird ein definierter Handshake durchgeführt, der die verschlüsselte Verbindung einleitet. Das vierte Paket (das erste durch den Administrator geschickte Paket) beinhaltet stets 4 Bytes Nutzdaten. Auf der Firewall wird ein Boundary-Check für dieses Paket durchgeführt, so dass mehr als 4 Bytes übertragen werden können, die den Stack überschreiben lassen. Ein Angreifer kann sich sodann mit der Administrator-Schnittstelle verbinden, einen Pufferüberlauf erzwingen und beliebigen Programmcode auf dem Zielsystem ausführen. Dem Advisory wurde ein in Python verfasster proof-of-concept Exploit beigelegt. Als Workaround wird das Abschalten des Administrator-Interface empfohlen. Der Hersteller wurde informiert und er reagiert voraussichtlich mit einem Patch. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (11899), Tenable (11575) und Exploit-DB (28) dokumentiert. Die Schwachstellen 54 sind ähnlich.
Für den Vulnerability Scanner Nessus wurde am 06.05.2003 ein Plugin mit der ID 11575 (Kerio Personal Firewall Administrator Authentication Handshake Packet Remote Buffer Overflow) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Firewalls zugeordnet und im Kontext r ausgeführt.
Pufferüberlauf-Schwachstellen können passieren - Und sie passieren immerwieder. Die Administratoren und Benutzer haben begonnen, damit zu leben. Doch spätestens dann stösst man sich an einer solchen Sicherheitslücke, wenn sie in Sicherheits-Lösungen - wie in diesem Fall eine Personal Firewall - gefunden werden. Da die Kerio Personal Firewall nicht besonders verbreitet ist, wird diese Schwachstelle keine allzugrosse Bedeutung haben. Gleichzeitig ist das Advisory jedoch als Warnung an alle Hersteller von Sicherheits-Lösungen zu verstehen. Wer kauft schon ein Produkt zur Absicherung seiner Rechner, wenn dieses Produkt weitere erfolgreiche Angriffe ermöglicht?
Produkt
Typ
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Programmiersprache: 🔍
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 11575
Nessus Name: Kerio Personal Firewall Administrator Authentication Handshake Packet Remote Buffer Overflow
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
OpenVAS ID: 11575
OpenVAS Name: Kerio personal Firewall buffer overflow
OpenVAS Datei: 🔍
OpenVAS Family: 🔍
MetaSploit ID: kerio_auth.rb
MetaSploit Name: Kerio Firewall 2.1.4 Authentication Packet Overflow
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Patch: kerio.com
Snort ID: 11266
Snort Message: EXPLOIT Kerio Personal Firewall authentication buffer overflow attempt
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
PaloAlto IPS: 🔍
Timeline
03.03.2003 🔍28.04.2003 🔍
28.04.2003 🔍
28.04.2003 🔍
28.04.2003 🔍
28.04.2003 🔍
06.05.2003 🔍
12.05.2003 🔍
12.05.2003 🔍
19.10.2003 🔍
09.04.2004 🔍
25.06.2019 🔍
Quellen
Hersteller: kerio.comAdvisory: securiteam.com⛔
Person: Emiliano Kargieman, Hernán Gips , Javier Burroni
Firma: Core Security Technologies
Status: Nicht definiert
CVE: CVE-2003-0220 (🔍)
X-Force: 11899
Vulnerability Center: 2631 - Buffer Overflow in Kerio Personal Firewall <2.1.4 via Handshake Packet, High
SecurityFocus: 7180 - Kerio Personal Firewall Remote Authentication Packet Buffer Overflow Vulnerability
OSVDB: 6294 - Kerio Personal Firewall Administrator Authentication Handshake Packet Remote Overflow
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 28.04.2003 02:00Aktualisierung: 25.06.2019 18:47
Anpassungen: 28.04.2003 02:00 (101), 25.06.2019 18:47 (1)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.