Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-608

[MS,NAI/Webshield] Schwachstelle im NAI/McAfee Webshield SMTP für NT
(2001-12-04 15:52:03+01) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/bugtraq/2001/11/msg00267.html

NAI/McAfee WebShield SMTP für NT 4.5mr1a überprüft Attachments bei Mails mit bestimmten MIME-Headern nicht bzw. unzureichend.

Betroffene Systeme

  • NAI/McAfee WebShield für NT 4.5 bzw. 4.5mr1a

Einfallstor
E-Mail-Attachment mit bestimmten MIME-Headern

Auswirkung
Fehlende Virenüberprüfung bei E-Mail-Attachments

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
niedrig bis hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
NAI/McAfee WebShield SMTP für NT überprüft E-Mail-Attachments mit bestimmten MIME-Headern nicht bzw. unzureichend auf Viren. So erkennt NAI/McAfee Webshield SMTP für NT 4.5mr1a das Attachment des in der RUS-CERT Meldung [MS/Generic] Wurm namenes "BadTrans" verbreitet sich per E-Mail-Attachment (Update) beschriebenen "BadTrans"-Wurm nicht. Das Problem scheint ein audio/x-wav MIME-Header zu sein, bei dem keine bzw. eine unzureichende Überprüfung stattfindet.
Durch diese Schwachstelle können E-Mail-Attachments mit Viren (wie z.B. der "BadTrans"-Wurm) in eigentlich geschützte Bereiche eindringen.

Gegenmaßnahmen
Einer Bugtraq-Meldung zufolge stellt NAI ein EXTRA.DAT-File zur Verfügung, welches das beschriebene Problem (zumindest bzgl. des "BadTrans"-Wurm) beseitigt.

Workaround
Durch Hinzufügen von Filterregeln für audio/x-wav können Attachments, wie sie der "BadTrans"-Wurm verwendet, geblockt werden.
Hinweis:
Dies Maßnahme stellt eine Einschränkung dar. E-Mail-Nachrichten mit einem solchen MIME-Header können nicht mehr empfangen werden.

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2013 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.