首页 -> 安全研究
安全研究
安全漏洞
Check Point FW-1 Syslog守护进程未过滤转义序列漏洞
发布日期:2003-03-21
更新日期:2003-03-26
受影响系统:
Check Point Software Firewall-1 4.1SP6不受影响系统:
Check Point Software Firewall-1 4.1SP5
Check Point Software Firewall-1 4.1SP4
Check Point Software Firewall-1 4.1SP3
Check Point Software Firewall-1 4.1SP2
Check Point Software Firewall-1 4.1SP1
Check Point Software Firewall-1 4.1
Check Point Software Firewall-1 4.0SP8
Check Point Software Firewall-1 4.0SP7
Check Point Software Firewall-1 4.0SP6
Check Point Software Firewall-1 4.0SP5
Check Point Software Firewall-1 4.0SP4
Check Point Software Firewall-1 4.0SP3
Check Point Software Firewall-1 4.0SP2
Check Point Software Firewall-1 4.0SP1
Check Point Software Firewall-1 4.0
Check Point Software Firewall-1 3.0
Check Point Software Next Generation FP3 HF1
Check Point Software Next Generation FP2
Check Point Software Next Generation FP1
Check Point Software Next Generation
Check Point Software VPN-1 4.1SP4
Check Point Software VPN-1 4.1SP3
Check Point Software VPN-1 4.1SP2
Check Point Software VPN-1 4.1SP1
Check Point Software VPN-1 4.1
Check Point Software Next Generation FP3 HF2描述:
BUGTRAQ ID: 7161
Check Point FW-1 NG FP3包含syslog守护进程(默认为off)来重定向远程(如路由器)进入的syslog消息到Checkpoint的SmartTracker日志机制。
Check Point FW-1 syslog守护进程在处理转义序列时没有充分过滤,远程攻击者可以利用这个漏洞使攻击行为不给日志守护进程发现。
由于没有充分过滤非打印字符,攻击者可以提交包含转义序列的字符的日志消息给syslog守护程序,可导致产生欺骗日志,使日志不可信。
<*来源:Dr. Peter Bieringer (pbieringer@aerasec.de)
链接:http://www.aerasec.de/security/advisories/txt/checkpoint-fw1-ng-fp3-syslog-crash.txt
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
[evilhost]# echo -e "<189>19: 00:01:04: Test\a\033[2J\033[2;5m\033[1;31mHACKER~
ATTACK\033[2;25m\033[22;30m\033[3q" | nc -u firewall 514
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 使用"tr"过滤日志输出:
[firewall]# fw log -tfnl | tr '\000-\011\013-\037\200-\377' '*'
厂商补丁:
Check Point Software
--------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到CheckPoint FP3 HF2版本:
http://www.checkpoint.com/techsupport/ng/fp3_hotfix.html
浏览次数:2942
严重程度:0(网友投票)
绿盟科技给您安全的保障