ISS RealSecure/BlackICE MailSlot堆溢出检查远程拒绝服务漏洞

发布日期：2006-07-27

CVE ID：CVE-2006-3840

受影响的软件及系统：
====================
RealSecure Network Sensor 7.0
Proventia A Series
Proventia G Series
Proventia M Series
RealSecure Server Sensor 7.0
Proventia Server
RealSecure Desktop 7.0
Proventia Desktop
BlackICE PC Protection 3.6
BlackICE Server Protection 3.6

综述：
======
NSFOCUS安全小组发现ISS的RealSecure/BlackICE产品线对MailSolt堆溢出漏洞(MS06-035)的检查存在一个远程拒绝服务漏洞，通过发送特定的的SMB报文，可能导致某些ISS产品拒绝服务。

分析：
======
ISS的保护产品在对SMB_MailSlot_Heap_Overflow(MS06-035/KB917159)漏洞的检测中存在一个拒绝服务漏洞。通过构造特定攻击报文，可以导致检测代码陷入死循环。这可能导致某些ISS保护产品甚至操作系统停止响应。例如，对于BlackICE，会使得BlackICE所在主机网络中断，同时CPU占用率接近百分之百。停止BlackICE引擎并不能恢复正常，需要重启操作系统。

攻击者只需要发送单包就可以触发此漏洞，无需真正建立SMB会话。

解决方法：
==========
在防火墙上过滤TCP/445和TCP/139端口

厂商状态：
==========
2006.07.24  通知厂商
2006.07.25  厂商确认漏洞
2006.07.26  ISS已就此发布了一个安全公告以及相应补丁

您可以在下列地址看到ISS安全公告的详细内容：

http://xforce.iss.net/xforce/alerts/id/230

ISS发布了下列XPU以修复该漏洞：

RealSecure Network 7.0, XPU 24.40
Proventia A Series, XPU 24.40
Proventia G Series, XPU 24.40/1.79
Proventia M Series, XPU 1.79
RealSecure Server Sensor 7.0, XPU 24.40
Proventia Server 1.0.914.1880
RealSecure Desktop 7.0 epk
Proventia Desktop 8.0.812.1790/8.0.675.1790
BlackICE PC Protection 3.6 cpk
BlackICE Server Protection 3.6 cpk

附加信息：
==========
通用漏洞披露(Common Vulnerabilities and Exposures)组织CVE已经为此问题分配了一个候选名 CVE-2006-3840。此名字是为了收录进CVE列表做候选之用，(http://cve.mitre.org)CVE列表致力于使安全问题的命名标准化。候选名在被正式加入CVE列表之前可能会有较大的变化。

致谢：
======

本安全漏洞由绿盟科技安全小组(NSFOCUS Security Team)的陈庆发现。

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技