Objet: Vulnérabilité des produits Proventia, BlackICE et RealSecure d’ISS

Risque

• Déni de service ;
• exécution de code arbitraire à distance.

Systèmes affectés

• Proventia séries A, G et M ;
• BlackICE PC ou Server version 3.6 ;
• RealSecure Sentry, Guard ou Desktop 3.6 ;
• RealSecure Desktop, Network ou Server Sensor 7.0.

Résumé

Une faille a été identifiée dans les sondes d'ISS qui permet d'exploiter une vulnérabilité de type débordement de tampon. Cette dernière pourrait permettre à un utilisateur mal intentionné d'exécuter du code arbitraire à distance sans authentification avec des privilèges élevés.

Description

Les produits d'ISS (Internet Security Systems) cités ci-dessus incluent systématiquement une sonde de détection d'intrusions parfois couplée à un pare-feu (BlackIce, Porventia).

Le code d'analyse du protocole SMB (Server Message Block), utilisé par les systèmes d'exploitation de Microsoft pour partager des ressources, comporte une faille qui peut être utilisée pour corrompre la mémoire.

Un seul paquet serait suffisant pour exploiter ce défaut.

Contournement provisoire

Filtrer les ports SMB (445/tcp ou encapsulé dans NetBIOS 137, 138/udp et 139/tcp) sur les pare-feux permet de limiter les risques à des attaques provenant de la même zone de sécurité (ce qui n'exclut pas les rebonds). Cette règle est, par aileurs, recommandée de façon générale.

Solution

Mettre à jour en fonction des recommendations du vendeur :

• BlackICE :

  http://blackice.iss.net/update_center/index.php
  

• RealSecure :

  http://www.iss.net/download/
  

Documentation

• Avis AD20040226 de eEye digital security :

  http://www.eeye.com/html/Research/Advisories/AD20040226.html
  

• Note de vulnérabilité du CERT/CC :

  http://www.kb.cert.org/vuls/id/150326
  

• Avis de sécurité d'ISS :

  http://xforce.iss.net/xforce/alerts/id/165