Sophos Antivirus bis 3.78d mittels falsche MIME-Boundaries umgehen
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.8 | $0-$5k | 0.00 |
Zusammenfassung
In Sophos Anti-Virus 3.4.6/3.78 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Es geht dabei um eine nicht klar definierte Funktion der Komponente MIME Boundary Handler. Die Veränderung resultiert in erweiterte Rechte. Diese Schwachstelle wird als CVE-2004-2088 gehandelt. Der Angriff kann über das Netzwerk passieren. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Sophos ist einer der bekannten Hersteller von Antiviren-Lösungen. Wie nun bekannt wurde, können Viren durch eine spezielle MIME-Einbettung durchgeschleust werden. Dies ist zum Beispiel dann der Fall, wenn qmail eine Delivery Status Notification (DSN) macht und dabei den MyDoom.A-Virus im Body mitschickt. Ein Angreifer könnte diesen Umstand nutzen, um Viren an der Antiviren-Lösung vorbeizuschmuggeln. Es ist bisher kein Exploit bekannt. Sophos hat den Fehler in der Version 3.78 behoben. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15192), SecurityFocus (BID 9650†), OSVDB (45184†), Secunia (SA10855†) und SecurityTracker (ID 1009042†) dokumentiert. Unter sophos.com werden zusätzliche Informationen bereitgestellt. Schwachstellen ähnlicher Art sind dokumentiert unter VDB-514. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 38315 (Sophos Antivirus Scan Bypass Vulnerability) zur Prüfung der Schwachstelle an.
Es ist wohl nicht hart genug zu sagen, dass eine Antiviren-Lösung, die eine solche Schwachstelle aufweist, eigentlich durchgefallen ist. Dieses Verhalten hätte ganz bestimmt bei der Entwicklung auffallen und entsprechende Gegenmassnahmen durch die Programmierer eingeleitet werden müssen. Eine derlei halbfunktionstüchtige Sicherheitsanwendung auf den Markt zu werfen ist schon fast dreist. Zukünftige Viren könnten sich den Umstand der Schwachstelle durchaus zunutze machen, um ein höheres Mass an Verbreitung zu erreichen.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Hersteller: https://www.sophos.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.3VulDB Meta Temp Score: 4.8
VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-269 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Patch: sophos.com
Timeline
12.02.2004 🔍12.02.2004 🔍
12.02.2004 🔍
12.02.2004 🔍
12.02.2004 🔍
13.02.2004 🔍
19.05.2005 🔍
21.02.2006 🔍
15.05.2008 🔍
06.07.2025 🔍
Quellen
Hersteller: sophos.comAdvisory: sophos.com
Person: http://www.sophos.com
Firma: Sophos
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2004-2088 (🔍)
GCVE (CVE): GCVE-0-2004-2088
GCVE (VulDB): GCVE-100-515
X-Force: 15192 - Sophos Anti-Virus email virus may not be detected, Medium Risk
SecurityFocus: 9650 - Sophos Anti-Virus Delivery Status Notification Handling Scanner Bypass Vulnerability
Secunia: 10855 - Sophos Anti-Virus MIME Header Handling Vulnerability, Moderately Critical
OSVDB: 45184 - Sophos Anti-Virus qmail Generated Delivery Status Notification (DSN) Scanning Bypass
SecurityTracker: 1009042 - Sophos Anti-Virus Can Be Hung With Specially Crafted MIME Headers
Vulnerability Center: 10393 - Sophos Anti-Virus 3.78 Scan Bypass via Malformed DSN, Medium
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 12.02.2004 17:31Aktualisierung: 06.07.2025 08:18
Anpassungen: 12.02.2004 17:31 (77), 07.06.2017 16:04 (10), 06.07.2025 08:18 (18)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.