ISS Proventia RealSecure und BlackICE PC Protection PAM SMB-Reassemblierung Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine sehr kritische Schwachstelle in ISS Proventia and RealSecure ausgemacht. Es geht dabei um eine nicht klar definierte Funktion der Komponente PAM SMB Reassembler. Mit der Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2004-0193 vorgenommen. Der Angriff kann über das Netzwerk passieren. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
ISS Proventia ist ein Intrusion Prevention-System (IPS), das frühzeitig Angriffe erkennen und durch eine Limitierung der Funktion des Betriebssystems diese rechtzeitig verhindern können soll. eEye Digital Security hat eine Pufferüberlauf-Schwachstelle im PAM-Modul zur Reassemblierung von SMB-Pakete entdeckt. Das Protocol Analysis Module (PAM) ist für das Parsen der jeweiligen Netzwerkprotokolle, darunter auch SMB, zuständig. Der Fehler im Intrusion Prevention-System selbst erlaubt es einem Angreifer, den Schutzmechanismus mittels einer SMB Setup AndX-Anfrage zu umgehen und beliebigen Programmcode mit Systemrechten auf dem Zielsystem auszuführen. Von der Schwachstellen ist ISS Proventia, die RealSecure-Lösungen sowie BlackICE PC Protection. Es sind keine genauen Details zur Schwachstelle oder ein Exploit bekannt. ISS hat mit entsprechenden XPUs und Patches für die betroffenen Produkte reagiert. Alternativ können betroffene Systeme mittels Firewalling vor dem gefährlichen SMB-Datenverkehr geschützt werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15207), Tenable (12114), SecurityFocus (BID 9752†), OSVDB (4702†) und Secunia (SA10988†) dokumentiert. Unter snia.org werden zusätzliche Informationen bereitgestellt. Die Schwachstellen VDB-496, VDB-15702, VDB-18892 und VDB-18893 sind ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Für den Vulnerability Scanner Nessus wurde am 19.03.2004 ein Plugin mit der ID 12114 (ISS BlackICE Multiple Remote Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 34019 (ISS Protocol Analysis Module SMB Parsing Heap Overflow Vulnerability) zur Prüfung der Schwachstelle an.
Dies ist die erste ernstzunehmende Schwachstelle in einem Intrusion Prevention-System. Es zeigt sehr deutlich, dass auch diese Lösungen vor Fehlern gefeit sind. Und noch mehr wird deutlich, dass ebenso die Installation eines solchen Produkts die Sicherheit eines gesamten Systems untergraben kann. Wir sollten daraus lernen, dass Intrusion Prevention nicht das Allheilmittel der heutigen Zeit ist - Sondern wie auch andere Schutzmechanismen will es taktisch sinnvoll und mit der erforderlichen Skepsis eingesetzt werden.
Produkt
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 12114
Nessus Name: ISS BlackICE Multiple Remote Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Name: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: iss.net
Snort ID: 2401
Snort Message: NETBIOS SMB Session Setup andx username overflow attempt
Snort Klasse: 🔍
TippingPoint: 🔍
SourceFire IPS: 🔍
Timeline
26.02.2004 🔍26.02.2004 🔍
26.02.2004 🔍
26.02.2004 🔍
27.02.2004 🔍
29.02.2004 🔍
01.03.2004 🔍
15.03.2004 🔍
19.03.2004 🔍
31.03.2004 🔍
13.07.2025 🔍
Quellen
Advisory: xforce.iss.netPerson: Jack Barnaby
Firma: eEye Digital Security
Status: Bestätigt
CVE: CVE-2004-0193 (🔍)
GCVE (CVE): GCVE-0-2004-0193
GCVE (VulDB): GCVE-100-533
CERT: 🔍
X-Force: 15207 - PAM component buffer overflow when parsing SMB protocol, High Risk
SecurityFocus: 9752 - Internet Security Systems Protocol Analysis Module SMB Parsing Heap Overflow Vulnerability
Secunia: 10988 - ISS Multiple Products SMB Packet Handling Buffer Overflow Vulnerability, Moderately Critical
OSVDB: 4702 - RealSecure/BlackICE PAM Module SMB Packet Overflow
Vulnerability Center: 3868 - Buffer Overflow in ISS Products SMB Protocol, High
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 01.03.2004 10:18Aktualisierung: 13.07.2025 18:15
Anpassungen: 01.03.2004 10:18 (88), 27.06.2019 18:58 (4), 15.12.2024 21:01 (19), 13.07.2025 18:15 (2)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.