Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-556

[Symantec/Raptor Firewall] Raptor Firewall gegen Denial of Service Angriff verwundbar
(2001-11-09 14:00:04+00)

Quelle: http://www.securityfocus.com/bid/3509

Mehrere Schwachstellen in der Raptor Firewall von Axent/Symantec bei der Verarbeitung von UDP Paketen können dazu ausgenutzt werden, den Proxy-Dienst, bzw. das beherbergende System lahmzulegen.

Betroffene Systeme

Nicht betroffene Systeme

Einfallstor

  1. einzelnes UDP Paket an UDP Port 138
  2. UDP Paket

Auswirkung

  1. Der Proxy-Dienst der Raptor Firewall stellt den Betrieb ein.
  2. Auf dem die Raptor Firewall beherbergenden System wird 100% CPU Auslastung erzeugt, wodurch der Datendurchsatz durch das System unter Umständen so stark reduziert wird, daß das System faktisch seinen Betrieb einstellt.

Typ der Verwundbarkeit

  1. Denial of Service (DoS)
  2. Denial of Service (DoS)

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

  1. Durch das Senden eines einzigen UDP Paket ohne Dateninhalt (datalen = 0) an das udp nebios datagram proxy Modul (nbdatagram-gsp) wird der Proxy der Raptor Firewall lahmgelegt. Das Proxy-Modul (nbdatagram-gsp) wird nach einem Absturz in der Standardkonfiguration 10 mal neu gestartet, danach wird das udp-gsp-Modul den Proxy-Dienst für diesen Port übernehmen. Das udp-gsp-Modul ist allerdings ebenfalls anfällig für einen Denial of Service (DoS) Angriff (siehe Punkt 2). Der Proxy-Dienst kann also effektiv durch das Senden von insgesamt 10 solcher UDP-Pakete an eine jeweils laufende Programminstanz dauerhaft beendet werden.
  2. Die Verarbeitung einer großen Anzahl an UDP Paketen ohne Dateninhalt (datalen = 0) durch das UDP Proxy-Modul udp-gsp der Raptor Firewall verbraucht bis zu 100% der verfügbaren CPU-Zeit, so daß der Datendurchsatz des Proxy stark reduziert wird bzw. ganz verhindert wird. Durch den exklusiven Konsum der verfügbaren CPU-Zeit sind auch alle anderen Dienste des beherbergenden nicht mehr verfügbar. Falls dieses System bestimmungsgemäß als Gateway zu einem geschützten Netz eingesetzt wird, ist der Datenverkehr in bzw. aus diesem Netz, je nach Konfiguration bis hin zur Blockade, gestört.

Gegenmaßnahmen
Da bislang keine Patches für verwundbare Versionen vorliegen:

Vulnerability ID
liegt bislang nicht vor

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=556