Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1506

[Generic/Sophos] Schwachstelle in Sophos Anti-Virus
(2008-12-22 13:48:12.85715+00)

Quelle: http://www.sophos.com/support/knowledgebase/article/50611.html

Eine Schwachstelle in den Routinen zum Entpacken von Dateien im Microsoft Cabinet Format (CAB) der Antivirenprodukte von Sophos kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode mit den Privilegien des entsprechenden Sophos-Prozesses auf dem beherbergenden System auszuführen, oder den Malwarescanner in einen unbenutzbaren Zustand zu versetzen. Neben den diversen Desktop-Produkten sind von dieser Schwachstelle auch die Gateway-Produkte zur Malwarefilterung auf Mailservern betroffen.

Inhalt

Zusammenfassung

Betroffen: Sophos Virus Engine 2.82.0
Nicht betroffen: Sophos Virus Engine 2.82.1
Einfallstor: CAB-Archiv
Angriffsvoraussetzung:network
Angriffsvektorklasse: remote
Auswirkung: user compromise, DoS
Typ: Pufferüberlaufschwachstelle
Gefahrenpotential: hoch
Workaround: nein
Gegenmaßnahmen: neue Version
Vulnerability ID: CVE-2008-1372

Betroffene Systeme

Diese ist enthalten in den folgenden Versionen:

Nicht betroffene Systeme

Einfallstor

Angriffsvoraussetzung

Angriffsvektorklasse

Auswirkung

Typ der Verwundbarkeit

Gefahrenpotential


(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext

Das Microsoft Cabinet Format (CAB) ist ein spezielles Archiv-Format, das neben den einzelnen Dateien auch Pfadinformation speichert, um so auch einzelne Dateien aus dem Archiv entpacken zu können. Die Dateien werden meist mit dem Suffix .cab versehen und E-Mail-Nachrichten unter dem MIME-Type application/x-cab-compressed angehängt.

Beschreibung

Eine Schwachstelle in den Routinen zum Entpacken von CAB-Archiven der Antivirenprodukte von Sophos kann von einem Angreifer dazu ausgenutzt werden, den Malwarescanner in einen unbenutzbaren Zustand zu versetzen oder beliebigen Programmcode mit den Privilegien des entsprechenden Sophos-Prozesses auf dem beherbergenden Rechnersystem auszuführen. Neben den Desktop-Produkten sind von dieser Schwachstelle auch die diversen Gateway-Produkte zur Malwarefilterung auf Mailservern betroffen. Zur Ausnutzung der Schwachstelle ist es ausreichend eine entsprechend präparierte CAB-Datei z.B. als Anhang an einer E-Mail-Nachricht an ein System zu schicken, das diese mittels einer der verwundbaren Sophos-Versionen auf Malware untersucht.

Sofern Sophos mit administrativen Privilegien betrieben wird, führt die Ausnutzung der Schwachstelle zur Ausführung beliebigen Programmcodes zur Kompromittierung des beherbergenden Systems.

Die Ausnutzung der Schwachstelle zum Versetzen des Malwarescanners in einen unbenutzbaren Zustand kann zu erheblichen Störungen im Mailbetrieb führen, da normalerweise Nachrichten erst dann ausgeliefert werden, wenn ihre Überprüfung abgeschlossen ist. Wenn der Sophos-Daemon in einen unbenutzbaren Zustand gerät, stockt die Nachrichtenauslieferung, im schlimmsten Fall für alle Benutzer. Wenn in einem solchen Fall der Malwarescanner abgeschaltet wird, erhöht sich die Gefährdung der Mailempfänger, die durch das betroffene System versorgt werden mittelbar signifikant, da sie keinen Schutz vor Malware mehr genießen.

Die Ausnutzung der Schwachstelle in dieser Form besitzt unmittelbar ein eher mittleres Gefahrenpotential besitzt, denn unmittelbar ist nur das Schutzziel der Verfügbarkeit bedroht. Durch den eventuellen Wegfall des durch das betroffenen Systems bereitgestellten sicherheitsrelevanten Dienstes kann sie mittelbar jedoch ein sehr viel höheres Gefahrenpotential für die durch den Malwarescanner geschützten Systeme entwickeln, insbesondere dann, wenn der Dienst zur Wiederherstellung der Betriebsfähigkeit der Mailzustellung abgeschaltet wird.

Gegenmaßnahmen

Installation von:

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1506