| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.3 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle mit der Einstufung kritisch in Symantec Enterprise Firewall 7.0 gefunden. Dabei betrifft es einen unbekannter Codeteil der Komponente HTTP URL Pattern Handler. Durch das Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2003-0106 geführt. Der Angriff kann über das Netzwerk passieren. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, einen Patch anzuwenden, um dieses Problem zu beheben.
Details
Die Raptor-Firewall der Firma Symantec heisst seit der Version 7.0 neu Symantec Enterprise Firewall (SEF). Unter anderem wird durch diese ein Application-Gateway mit verschiedenen Proxies zur Verfügung gestellt. Der HTTP-Proxy bietet die Funktionalität einer Filterung anhand der URL-Anfragen. Einfach lassen sich so Zugriffe sperren, was vor allem als Workaround bei neu auftauchenden Würmern (z.B. damals CodeRed) sehr hilfreich sein kann. Jede HTTP-Anfrage über die SEF wird mit der Datenbank verglichen und falls eine Übereinstimmung gefunden wurde, erhält der Benutzer eine "403 forbidden"-Fehlermeldung. Es ist nun jedoch möglich mit dem Codieren der URLs diese Filter zu umgehen. Wird zum Beispiel der Zugriff auf die URL http://www.scip.ch/angebote unterbunden, kann mit dem Aufrufen von http://www.scip.ch/%69angebote die Seite trotzdem erreicht werden. Entsprechende Tools zur Umgehung dieser Schwachstelle sind seit längerem erhältlich (z.B. URL Filtering-Tunnel 0.9). Symantec weist in ihrem Artikel "How to protect against directory traversal and URL overflow attacks" darauf hin, wie dank regulären Ausdrücken der Zugriff mittels Codierungen grundsätzlich unterbunden werden kann. Weitere Informationen zum Thema finden sich im Support-Bereich von Symantec. Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 7196†) und OSVDB (4371†) dokumentiert. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-667 und VDB-704. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Diese Schwachstelle ist vor allem dann problematisch, wenn das Firewall-Element explizit für das Unterbinden unerlaubter HTTP-Zugriffe eingesetzt wird (z.B. Um bestimmte Verzeichnisse auf einem Webserver in der DMZ zu schützen). Gerade die Einfachheit, wie dieser Zugriff durchgeführt werden kann, erschreckt. Codierungs-Attacken zur Umgehung von Filtern sind seit vielen Jahren bekannt, weshalb diese Schwachstelle eindeutig dem Hersteller zuzuschreiben ist. Bestmöglich sollte man dem Hinweis in der Symantec Knowledge Base Folge leisten und sämtliche codierten Zugriffe unterbinden. Diese deuten meistens auf einen Angriff hin.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.symantec.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.8VulDB Meta Temp Score: 4.3
VulDB Base Score: 4.8
VulDB Temp Score: 4.3
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: UnbekanntCWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
0-Day Time: 🔍
Patch: service1.symantec.com
Timeline
26.02.2003 🔍26.03.2003 🔍
26.03.2003 🔍
26.03.2003 🔍
02.04.2003 🔍
17.03.2004 🔍
11.01.2019 🔍
Quellen
Hersteller: symantec.comAdvisory: securiteam.com⛔
Person: Martin O'Neal
Firma: Corsaire
Status: Nicht definiert
Bestätigung: 🔍
CVE: CVE-2003-0106 (🔍)
GCVE (CVE): GCVE-0-2003-0106
GCVE (VulDB): GCVE-100-20
SecurityFocus: 7196 - Symantec Enterprise Firewall HTTP Pattern Matching Evasion Weakness
OSVDB: 4371 - Symantec Enterprise Firewall HTTP URL Pattern Evasion
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍
Eintrag
Erstellt: 26.03.2003 01:00Aktualisierung: 11.01.2019 11:50
Anpassungen: 26.03.2003 01:00 (69), 11.01.2019 11:50 (2)
Komplett: 🔍
Cache ID: 216:933:103
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.