Sophos Antivirus bis 3.78d mittels falsche MIME-Boundaries umgehen

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
4.8$0-$5k0.00

Zusammenfassunginfo

In Sophos Anti-Virus 3.4.6/3.78 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Komponente MIME Boundary Handler. Die Veränderung resultiert in erweiterte Rechte. Diese Schwachstelle wird als CVE-2004-2088 gehandelt. Der Angriff kann über das Netzwerk passieren. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Sophos ist einer der bekannten Hersteller von Antiviren-Lösungen. Wie nun bekannt wurde, können Viren durch eine spezielle MIME-Einbettung durchgeschleust werden. Dies ist zum Beispiel dann der Fall, wenn qmail eine Delivery Status Notification (DSN) macht und dabei den MyDoom.A-Virus im Body mitschickt. Ein Angreifer könnte diesen Umstand nutzen, um Viren an der Antiviren-Lösung vorbeizuschmuggeln. Es ist bisher kein Exploit bekannt. Sophos hat den Fehler in der Version 3.78 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15192), SecurityFocus (BID 9650†), OSVDB (45184†), Secunia (SA10855†) und SecurityTracker (ID 1009042†) dokumentiert. Unter sophos.com werden zusätzliche Informationen bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-514. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 38315 (Sophos Antivirus Scan Bypass Vulnerability) zur Prüfung der Schwachstelle an.

Es ist wohl nicht hart genug zu sagen, dass eine Antiviren-Lösung, die eine solche Schwachstelle aufweist, eigentlich durchgefallen ist. Dieses Verhalten hätte ganz bestimmt bei der Entwicklung auffallen und entsprechende Gegenmassnahmen durch die Programmierer eingeleitet werden müssen. Eine derlei halbfunktionstüchtige Sicherheitsanwendung auf den Markt zu werfen ist schon fast dreist. Zukünftige Viren könnten sich den Umstand der Schwachstelle durchaus zunutze machen, um ein höheres Mass an Verbreitung zu erreichen.

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 5.3
VulDB Meta Temp Score: 4.8

VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Patch: sophos.com

Timelineinfo

12.02.2004 🔍
12.02.2004 +0 Tage 🔍
12.02.2004 +0 Tage 🔍
12.02.2004 +0 Tage 🔍
12.02.2004 +0 Tage 🔍
13.02.2004 +1 Tage 🔍
19.05.2005 +461 Tage 🔍
21.02.2006 +278 Tage 🔍
15.05.2008 +814 Tage 🔍
06.07.2025 +6260 Tage 🔍

Quelleninfo

Hersteller: sophos.com

Advisory: sophos.com
Person: http://www.sophos.com
Firma: Sophos
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2004-2088 (🔍)
GCVE (CVE): GCVE-0-2004-2088
GCVE (VulDB): GCVE-100-515
X-Force: 15192 - Sophos Anti-Virus email virus may not be detected, Medium Risk
SecurityFocus: 9650 - Sophos Anti-Virus Delivery Status Notification Handling Scanner Bypass Vulnerability
Secunia: 10855 - Sophos Anti-Virus MIME Header Handling Vulnerability, Moderately Critical
OSVDB: 45184 - Sophos Anti-Virus qmail Generated Delivery Status Notification (DSN) Scanning Bypass
SecurityTracker: 1009042 - Sophos Anti-Virus Can Be Hung With Specially Crafted MIME Headers
Vulnerability Center: 10393 - Sophos Anti-Virus 3.78 Scan Bypass via Malformed DSN, Medium

scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 12.02.2004 17:31
Aktualisierung: 06.07.2025 08:18
Anpassungen: 12.02.2004 17:31 (77), 07.06.2017 16:04 (10), 06.07.2025 08:18 (18)
Komplett: 🔍
Cache ID: 216::103

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Do you want to use VulDB in your project?

Use the official API to access entries easily!