Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst TRENDMICRO und SOPHOS Denial of Service durch manipulierte RAR-Datei

Mitglied: gnarff

gnarff (Level 2) - Jetzt verbinden

11.12.2006, aktualisiert 07.01.2009, 4869 Aufrufe

Die Suche nach bekannten Viren geschieht mit einem Virenscanners.
Die meisten Virenscanner koennen auch innerhalb gepackter Dateien nach Schaedlingen
suchen.

In den nachfolgend beschriebenen Antivirenloesungen gibt es einen Sicherheitsanfaelligkeit
fuer Denial of Service Angriffe per remote explotation;
im Zusammenhang damit ist auch ein exzessiver Anstieg im Verbrauch von Systenressourcen zu
beobachten.

Betroffene Produkte:

    • Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.
      • Trend Micro PC Cillin - Internet Security 2006
      • Trend Micro Office Scan 7.3
      • Trend Micro Server Protect 5.58

    iDefense hat die Sicherheitsanfealligkeit fuer die folgenden Produkte bestaetigt;
    das bedeutet nicht, dass diese Liste einen Anspruch auf Vollstaendigkeit erhebt, da die
    Hersteller dieser AV-Loesungen den gleichen Virenscanner auch in anderen Versionen ihrer
    Produkte einsetzen.

    Die Sicherheitsanfaelligkeit fuer die betroffenen Produkte ergibt sich beim Scannen eines
    manipulierten *.RAR-Archives.
    Dabei muessen im Archiv-Header die Felder head_size und pack_size auf Null gesetzt sein,
    ist dies der Fall fuehren die Virenscanner eine Endlosschleife aus.

    Durch die erfolgreiche Ausnutzung dieser Sicherheitsanfaelligkeit verbraucht der so
    attakierte Virenscanner in exzessiven Masse Prozessorleistung und in manchen Faellen auch
    Speicherressourcen

    Um einen derartigen Angriff erfolgreich auszufuehren, muss das manipulierte *.RAR-Archiv
    zunaechst auf einen Rechner geladen werden, dies kann durch Email-Anhaenge, per FTP,
    Netzwerk-shares oder auch ueber Webformulare geschehen.

    Die Folgen dieser Sicherheitsanfaelligkeit sind fuer genannten Produkte
    nachstehend beschrieben:

    Sophos:
    Ob in einem gepackten Archiv gescannt wird oder nicht, ist bei diesem Produkt
    standardmaessig nicht vorgegeben und muss vom Benutzer extra eingestellt werden.
    Der Denial of Service - Angriff haelt den Virenscanner davon ab weitere Dateien und Archive
    zu scannen, da er in einer Endlosschleife gefangen, damit beschaeftigt ist das manipulierte
    *.RAR-Archiv zu untersuchen.
    Der Scann-Prozess haengt also, kann aber vom Benutzer ohne weiteres gestoppt werden.

    Zwischenloesung:
    Sophos Small Business Edition (Windows/Linux) 4.06.1 mit
    Virenscanner version 2.34.3.:
    "Scannen in Archiven" auf "disabled" setzen.
    Fuer die anderen Produkte dieses Herstellers ist noch keine Loesung bekannt
    Mehr Informationen unter:
    http://www.sophos.com/support/knowledgebase/article/7609.html

    Trend Micro:
    Bei einem Angriff verbraucht der Rechner 99% seiner CPU-Leistung und
    muss Neu gestartet werden, um den Endlos-Scannprozess zu beenden.

    Zwischenloesung:
    Trend Micro stellte fest, dass die Version 8.320, ihres Virenscanners fuer Windowssysteme,
    nicht von dieser Sicherheitsanfaelligkeit betroffen ist.
    Ausserdem gibt es einen neuen Release ihres Virenscanners, fuer HPUX-, und AIX-Builds;
    die Version 8.150, um diesem Sicherheitsproblem zu begegnen

    CVE: 2006-5645
    http://cve.mitre.org

    [Original-Advisory:iDefense Security Advisory 12.08.06
    http://labs.idefense.com/intelligence/vulnerabilities/
    Dec 08, 2006]

    saludos
    gnarff
Ähnliche Inhalte
Viren und Trojaner
TrendMicro ohne Passwort
Frage von 118080Viren und Trojaner7 Kommentare

Moin Ich habe Trendmicro mal zum testen installiert Jetzt kann ich ihn nicht mehr deinstallieren Er nimmt das Konsolenpasswort ...

Batch & Shell

Umbenennen entpackter Dateien nach Dateinamen der rar- zip-Datei

Frage von windows-nutzerBatch & Shell

Hallo zusammen, ich habe nachfolgenden Code, der mir verpackte Dateien entpackt. Da ich jedoch mehrere Dateien habe, die ich ...

Schulung & Training

Schulung TrendMicro OfficeScan

Frage von AzubineSchulung & Training10 Kommentare

Hallo, welche Schulung /Ort würdet ihr für TrendMicro Officescan empfehlen? Mir geht es um Troubleshooting, Outbreak und solchen Dingen ...

Batch & Shell

Rar-Unrar mit Kommandozeilenparameter

Frage von 115129Batch & Shell6 Kommentare

Hallo zusammen, ich bräuchte einen Code, der mir folgendes Abarbeitung soll: Übergabe per Kommandozeilenparameter: z.B. I:\Backup\B2016\452-0001-IN.rar (Es können auch ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 14 StundenInternet2 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 18 StundenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 1 TagWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 1 TagSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
Switche und Hubs
Medienkonverter mit 12 oder 24 Ports gesucht
Frage von wmuellerSwitche und Hubs24 Kommentare

Guten Morgen, ich bin auf der Suche nach einem größeren Medienkonverter, der "stumpf" 1:1 die Ports auf über ein ...

Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell21 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...