ISS verschiedene Produkte PAM-Modul ICQ Server Rückantwort Pufferüberlauf
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.09 |
Zusammenfassung
Es wurde eine als sehr kritisch klassifizierte Schwachstelle in ISS Proventia and RealSecure entdeckt. Es geht hierbei um eine nicht näher spezifizierte Funktion der Komponente PAM Module. Durch das Beeinflussen durch ICQ Server Reply kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2004-0362. Der Angriff kann über das Netzwerk erfolgen. Zusätzlich gibt es einen verfügbaren Exploit. Es ist ratsam, einen Patch zu implementieren, um dieses Problem zu beheben.
Details
ISS Proventia ist ein Intrusion Prevention-System (IPS), das frühzeitig Angriffe erkennen und durch eine Limitierung der Funktion des Betriebssystems diese rechtzeitig verhindern können soll. eEye Digital Security hat eine Pufferüberlauf-Schwachstelle im PAM-Modul zur Verarbeitung von ICQ-Rückantworten entdeckt. Der Fehler im Intrusion Prevention-System selbst erlaubt es einem Angreifer, den Schutzmechanismus zu umgehen und beliebigen Programmcode mit Systemrechten auf dem Zielsystem auszuführen. Von der Schwachstellen ist ISS Proventia, die RealSecure-Lösungen sowie BlackICE PC Protection. Diese Schwachstelle wird zur Zeit automatisiert vom Witty-Worm (aka. Blackworm) ausgenutzt. ISC SANS hat eine Analyse unter http://isc.sans.org/diary.html?date=2004-03-20 bereitgestellt. Einige Wochen später wurde ein in C geschriebener Exploit auf Bugtraq und Full-Disclosure publiziert. ISS hat mit entsprechenden XPUs und Patches für die betroffenen Produkte reagiert. Alternativ können betroffene Systeme mittels Firewalling vor dem gefährlichen SMB-Datenverkehr geschützt werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (15543), Exploit-DB (168), SecurityFocus (BID 9913†), OSVDB (4355†) und Secunia (SA11073†) dokumentiert. Heise diskutiert den Sachverhalt in deutscher Sprache. Zusätzliche Informationen finden sich unter eeye.com. Die Schwachstellen VDB-82, VDB-332, VDB-333 und VDB-427 sind ähnlich. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 34023 (ISS Protocol Analysis Module ICQ Parsing Stack Overflow Vulnerabilities) zur Prüfung der Schwachstelle an.
Dies ist die schon die zweite ernstzunehmende Schwachstelle in einem Intrusion Prevention-System (siehe scipID 533) - Und diese wird erstmals automatisiert durch einen Wurm ausgenutzt. Es zeigt sehr deutlich, dass auch diese Lösungen vor Fehlern gefeit sind. Und noch mehr wird deutlich, dass ebenso die Installation eines solchen Produkts die Sicherheit eines gesamten Systems untergraben kann. Wir sollten daraus lernen, dass Intrusion Prevention nicht das Allheilmittel der heutigen Zeit ist - Sondern wie auch andere Schutzmechanismen will es taktisch sinnvoll und mit der erforderlichen Skepsis eingesetzt werden.
Produkt
Hersteller
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: PufferüberlaufCWE: CWE-121 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Qualys ID: 🔍
Qualys Name: 🔍
MetaSploit ID: blackice_pam_icq.rb
MetaSploit Name: ISS PAM.dll ICQ Parser Buffer Overflow
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: iss.net
Snort ID: 2446
Snort Message: EXPLOIT ICQ SRV_MULTI/SRV_META_USER overflow attempt
Snort Klasse: 🔍
Snort Pattern: 🔍
TippingPoint: 🔍
McAfee IPS: 🔍
McAfee IPS Version: 🔍
SourceFire IPS: 🔍
ISS Proventia IPS: 🔍
PaloAlto IPS: 🔍
Fortigate IPS: 🔍
Timeline
08.03.2004 🔍18.03.2004 🔍
18.03.2004 🔍
18.03.2004 🔍
18.03.2004 🔍
18.03.2004 🔍
19.03.2004 🔍
19.03.2004 🔍
21.03.2004 🔍
22.03.2004 🔍
15.04.2004 🔍
13.07.2025 🔍
Quellen
Advisory: xforce.iss.netPerson: Briley Hassell-Jack (DiGiT)
Firma: eEye Digital Security
Status: Bestätigt
CVE: CVE-2004-0362 (🔍)
GCVE (CVE): GCVE-0-2004-0362
GCVE (VulDB): GCVE-100-568
CERT: 🔍
X-Force: 15543 - Witty Worm targets BlackICE PC Protection systems, High Risk
SecurityFocus: 9913 - Internet Security Systems Protocol Analysis Module ICQ Parsing Buffer Overflow Vulnerability
Secunia: 11073 - ISS Multiple Products ICQ Server Response Processing Vulnerability, Highly Critical
OSVDB: 4355 - ISS Multiple Products PAM Component ICQ Protocol Parsing Overflow
SecuriTeam: securiteam.com
Vulnerability Center: 3996 - ISS PAM Component Enables Remote Code Execution, Critical
Heise: 45876
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 22.03.2004 09:46Aktualisierung: 13.07.2025 02:02
Anpassungen: 22.03.2004 09:46 (101), 27.06.2019 22:57 (5), 17.06.2024 17:26 (16), 19.11.2024 15:11 (3), 13.07.2025 02:02 (2)
Komplett: 🔍
Cache ID: 216:1E1:103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.