ISS Proventia RealSecure und BlackICE PC Protection PAM SMB-Reassemblierung Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
7.0$0-$5k0.00

Zusammenfassunginfo

Es wurde eine sehr kritische Schwachstelle in ISS Proventia and RealSecure ausgemacht. Es geht dabei um eine nicht klar definierte Funktion der Komponente PAM SMB Reassembler. Mit der Manipulation mit unbekannten Daten kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2004-0193 vorgenommen. Der Angriff kann über das Netzwerk passieren. Es gibt keinen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.

Detailsinfo

ISS Proventia ist ein Intrusion Prevention-System (IPS), das frühzeitig Angriffe erkennen und durch eine Limitierung der Funktion des Betriebssystems diese rechtzeitig verhindern können soll. eEye Digital Security hat eine Pufferüberlauf-Schwachstelle im PAM-Modul zur Reassemblierung von SMB-Pakete entdeckt. Das Protocol Analysis Module (PAM) ist für das Parsen der jeweiligen Netzwerkprotokolle, darunter auch SMB, zuständig. Der Fehler im Intrusion Prevention-System selbst erlaubt es einem Angreifer, den Schutzmechanismus mittels einer SMB Setup AndX-Anfrage zu umgehen und beliebigen Programmcode mit Systemrechten auf dem Zielsystem auszuführen. Von der Schwachstellen ist ISS Proventia, die RealSecure-Lösungen sowie BlackICE PC Protection. Es sind keine genauen Details zur Schwachstelle oder ein Exploit bekannt. ISS hat mit entsprechenden XPUs und Patches für die betroffenen Produkte reagiert. Alternativ können betroffene Systeme mittels Firewalling vor dem gefährlichen SMB-Datenverkehr geschützt werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15207), Tenable (12114), SecurityFocus (BID 9752†), OSVDB (4702†) und Secunia (SA10988†) dokumentiert. Unter snia.org werden zusätzliche Informationen bereitgestellt. Die Schwachstellen VDB-496, VDB-15702, VDB-18892 und VDB-18893 sind ähnlich. If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Für den Vulnerability Scanner Nessus wurde am 19.03.2004 ein Plugin mit der ID 12114 (ISS BlackICE Multiple Remote Vulnerabilities) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows zugeordnet und im Kontext l ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 34019 (ISS Protocol Analysis Module SMB Parsing Heap Overflow Vulnerability) zur Prüfung der Schwachstelle an.

Dies ist die erste ernstzunehmende Schwachstelle in einem Intrusion Prevention-System. Es zeigt sehr deutlich, dass auch diese Lösungen vor Fehlern gefeit sind. Und noch mehr wird deutlich, dass ebenso die Installation eines solchen Produkts die Sicherheit eines gesamten Systems untergraben kann. Wir sollten daraus lernen, dass Intrusion Prevention nicht das Allheilmittel der heutigen Zeit ist - Sondern wie auch andere Schutzmechanismen will es taktisch sinnvoll und mit der erforderlichen Skepsis eingesetzt werden.

Produktinfo

Hersteller

Name

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 7.0

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 12114
Nessus Name: ISS BlackICE Multiple Remote Vulnerabilities
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍

Patch: iss.net

Snort ID: 2401
Snort Message: NETBIOS SMB Session Setup andx username overflow attempt
Snort Klasse: 🔍
TippingPoint: 🔍
SourceFire IPS: 🔍

Timelineinfo

26.02.2004 🔍
26.02.2004 +0 Tage 🔍
26.02.2004 +0 Tage 🔍
26.02.2004 +0 Tage 🔍
27.02.2004 +1 Tage 🔍
29.02.2004 +2 Tage 🔍
01.03.2004 +1 Tage 🔍
15.03.2004 +14 Tage 🔍
19.03.2004 +4 Tage 🔍
31.03.2004 +11 Tage 🔍
13.07.2025 +7774 Tage 🔍

Quelleninfo

Advisory: xforce.iss.net
Person: Jack Barnaby
Firma: eEye Digital Security
Status: Bestätigt

CVE: CVE-2004-0193 (🔍)
GCVE (CVE): GCVE-0-2004-0193
GCVE (VulDB): GCVE-100-533
CERT: 🔍
X-Force: 15207 - PAM component buffer overflow when parsing SMB protocol, High Risk
SecurityFocus: 9752 - Internet Security Systems Protocol Analysis Module SMB Parsing Heap Overflow Vulnerability
Secunia: 10988 - ISS Multiple Products SMB Packet Handling Buffer Overflow Vulnerability, Moderately Critical
OSVDB: 4702 - RealSecure/BlackICE PAM Module SMB Packet Overflow
Vulnerability Center: 3868 - Buffer Overflow in ISS Products SMB Protocol, High

Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 01.03.2004 10:18
Aktualisierung: 13.07.2025 18:15
Anpassungen: 01.03.2004 10:18 (88), 27.06.2019 18:58 (4), 15.12.2024 21:01 (19), 13.07.2025 18:15 (2)
Komplett: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to know what is going to be exploited?

We predict KEV entries!