[Cisco/CSA] Schwachstelle im Cisco Security Agent (CSA) Options

von Mickey vom 15.07.2017 - 93 Hits -

(2005-07-14 01:22:23.202125+02)
Quelle: http://www.cisco.com/warp/public/707/cisco-sa-20050713-csa.shtml

Eine Schwachstelle im Cisco Security Agent (CSA) kann durch das Senden speziell formulierter Pakete an das beherbergende Rechnersystem dazu ausgenutzt werden, dieses zum Absturz zu bringen und ggf. beliebigen Programmcode auszuführen.

Betroffene Systeme
* CSA 4.5 auf allen Windows Plattformen außer Windows XP

Nicht betroffene Systeme
* CSA 4.5 unter Windows XP
* CSA 4.5 unter Linux
* CSA 4.5 unter Solaris
* CSA 4.0 und frühere Versionen

Einfallstor
Speziell formulierte IP-Pakete an das beherbergende Rechnersystem

Angriffsvoraussetzung
Netzverbindung zum beherbergenden Rechnersystem (remote)

Auswirkung
* Absturz des beherbergenden Rechnersystems
* ggf. Ausführung beliebigen Programmcodes auf dem beherbergenden
Rechnersystem mit administrativen Privilegien (system compromise)

Typ der Verwundbarkeit
* vermutlich kernel memory corruption (Detailinformation ist derzeit
nicht verfügbar)

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Kontext
[2]Cisco Security Agent ist ein ein Softwaresystem, das Intrusion Detection und Intrusion Prevention-Funktionalität für Rechnersysteme bereitstellt.

Beschreibung
Eine Schwachstelle im Cisco Security Agent 4.5 für Windows kann dazu ausgenutzt werden, das beherbergende Rechner in einen unbenutzbaren Zustand zu versetzen. Nach Angaben von Cisco bleibt ein Windows System mit CSA 4.5 mit einem blue screen stehen, wenn es ein speziell formuliertes Paket empfängt. Derzeit liegt dem RUS-CERT keine genauere Information vor, jedoch deutet dieser Umstand stark darauf hin, daß die Ursache für den dann vorhandenen Zustand des Systems ein Stack- oder Heap-Überlauf mithin jedenfalls eine Korruption des Kernelspeichers ist. Dies erlaubt i.a. die unautorisierte Ausführung beliebigen Programmcodes auf dem beherbergenden System mit Systemprivilegien, was die Kompromittierung des beherbergenden Rechnersystems zur Folge hat.

Gegenmaßnahmen
* Installation des CSA [3]4.5.1.616, bzw.
* Installation des CSA [4]4.5.0.573

Vulnerability ID
* [5]CSCsa85175

Aktuelle Version dieses Artikels
[6]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1261

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2005 RUS-CERT, Universität Stuttgart, [7]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://www.cisco.com/en/US/products/sw/secursw/ps5057/
3. http://www.cisco.com/warp/public/707/cisco-sa-20050713-csa.shtml#so...
4. http://www.cisco.com/pcgi-bin/tablebuild.pl/csahf-crypto
5. http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsa...
6. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1261
7. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE

[Kommentar schreiben]

Ich möchte eine Frage im Forum stellen