McAfee Network Data Loss Prevention 8.6/9.2.0/9.2.1/9.2.2 schwache Verschlüsselung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.7$0-$5k0.00

Es wurde eine Schwachstelle in McAfee Network Data Loss Prevention 8.6/9.2.0/9.2.1/9.2.2 (Data Loss Prevention Software) ausgemacht. Sie wurde als problematisch eingestuft. Betroffen hiervon ist ein unbekannter Ablauf. Durch die Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-331 vorgenommen. Dies hat Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:

TCP, when using a large Window Size, makes it easier for remote attackers to guess sequence numbers and cause a denial of service (connection loss) to persistent TCP connections by repeatedly injecting a TCP RST packet, especially in protocols that use long-lived connections, such as BGP.

Die Schwachstelle wurde am 13.08.2013 durch Paul als SB10053 in Form eines bestätigten Advisories (Website) publiziert. Bereitgestellt wird das Advisory unter kc.mcafee.com. Die Herausgabe passierte in Zusammenarbeit mit McAfee. Die Identifikation der Schwachstelle wird seit dem 17.03.2004 mit CVE-2004-0230 vorgenommen. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Eine Ausnutzung erfordert, dass das Opfer eine spezifische Handlung durchführt. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1600.001 aus.

Der Exploit wird unter securityfocus.com bereitgestellt. Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde am 12.04.2005 ein Plugin mit der ID 18023 (MS05-019: Vulnerabilities in TCP/IP Could Allow Remote Code Execution (893066)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 82054 (TCP Sequence Number Approximation Based Denial of Service) zur Prüfung der Schwachstelle an.

Ein Aktualisieren auf die Version 9.3 vermag dieses Problem zu lösen. Eine neue Version kann von mcafee.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah vor und nicht erst nach der Veröffentlichung der Schwachstelle. McAfee hat daher vorgängig gehandelt. Das Advisory stellt fest:

This release resolves the 17 issues (…)
Angriffe können durch Snort ID 2523 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15886) und Tenable (18023) dokumentiert.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 5.7

VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Schwache Verschlüsselung
CWE: CWE-331 / CWE-330 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 18023
Nessus Name: MS05-019: Vulnerabilities in TCP/IP Could Allow Remote Code Execution (893066)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 902588
OpenVAS Name: Microsoft Windows Internet Protocol Validation Remote Code Execution Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍
Upgrade: Network Data Loss Prevention 9.3

Snort ID: 2523
Snort Message: SERVER-OTHER BGP spoofed connection reset attempt
Snort Klasse: 🔍

Suricata ID: 2102523
Suricata Klasse: 🔍
Suricata Message: 🔍

Timelineinfo

17.03.2004 🔍
20.04.2004 +34 Tage 🔍
18.08.2004 +120 Tage 🔍
12.04.2005 +237 Tage 🔍
05.08.2013 +3037 Tage 🔍
13.08.2013 +8 Tage 🔍
16.08.2013 +3 Tage 🔍
16.08.2013 +0 Tage 🔍
21.05.2021 +2835 Tage 🔍

Quelleninfo

Hersteller: mcafee.com

Advisory: SB10053
Person: Paul
Status: Bestätigt
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2004-0230 (🔍)
OVAL: 🔍
IAVM: 🔍

X-Force: 15886 - TCP spoofed reset denial of service
SecurityFocus: 10183 - Multiple Vendor TCP Sequence Number Approximation Vulnerability
Secunia: 54484 - McAfee Data Loss Prevention Multiple Vulnerabilities, Less Critical
OSVDB: 96291
Vupen: ADV-2006-3983

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 16.08.2013 16:06
Aktualisierung: 21.05.2021 14:55
Anpassungen: 16.08.2013 16:06 (94), 01.05.2019 11:54 (3), 21.05.2021 14:55 (3)
Komplett: 🔍
Cache ID: 18:266:103

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!