发布日期：2002-03-21
更新日期：2002-03-26

受影响系统：

ISS RealSecure for Nokia 6.0

不受影响系统：

ISS RealSecure for Nokia 6.5

描述：

---

BUGTRAQ  ID: 4331
CVE(CAN) ID: CVE-2002-0480

ISS RealSecure for Nokia IDS是一款高效的网络入侵检测系统，由ISS公司开发和维护。

ISS RealSecure for Nokia IDS由于设计问题，存在默认KeyAdministrator条目可导致重配置或者控制NIDS守护程序。

当用户在任意平台安装时，会建立名为ISS.ACCESS的配置文件，内容如下：

--ISS Access 6.0--
[\];
[\Roles];
[\Roles\KeyAdministrator\];
[\Roles\KeyAdministrator\machinename_username\];
[\Roles\KeyAdministrato\starscream_skank\];
[\Roles\MasterStatusManager\];

Roles\KeyAdministrator一行用来判断主机名和IIS称为KeyAdministrator的用户名，这个用户具有管理与守护程序通信的时使用的密钥能力。

而第二行\startscream_skank在IPSO中是作为默认值出现，这在其他平台或者在HIDS RealSecure产品中是不存在的。

问题存在于KeyAdministrator，使用这个用户就可以控制守护程序包括事件监控和如果报警的功能，攻击者可以利用上面的条目，把新的pubkey文件推到IDS探测器上，就可以重新配置或者控制NIDS守护程序和其组件。

<*来源：hellNbak （hellnbak@nmrc.org）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0246.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 如果你运行了RealSecure 6.0及以下的版本，你只要停止NIDS守护程序，然后编辑ISS.ACCESS文件并去掉下面一行：

[\Roles\KeyAdministrato\starscream_skank\];

* 如果你手工安装IPSO并开启了认证就不存在此漏洞，不过也建议删除ISS.ACCESS文件中的下面一行：

[\Roles\KeyAdministrato\starscream_skank\];

厂商补丁：

ISS
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Internet Security Systems RealSecure for Nokia 6.0:

Nokia Upgrade ISS RealSecure 6.5 for Nokia.
http://www.nokia.com/securenetworksolutions/trnsup/index.html

联系Nokia或者相关支持渠道获得升级信息。

浏览次数：3439
严重程度：0（网友投票）