安全研究

安全漏洞
Check Point FW-1 Syslog守护进程未过滤转义序列漏洞

发布日期:2003-03-21
更新日期:2003-03-26

受影响系统:
Check Point Software Firewall-1 4.1SP6
Check Point Software Firewall-1 4.1SP5
Check Point Software Firewall-1 4.1SP4
Check Point Software Firewall-1 4.1SP3
Check Point Software Firewall-1 4.1SP2
Check Point Software Firewall-1 4.1SP1
Check Point Software Firewall-1 4.1
Check Point Software Firewall-1 4.0SP8
Check Point Software Firewall-1 4.0SP7
Check Point Software Firewall-1 4.0SP6
Check Point Software Firewall-1 4.0SP5
Check Point Software Firewall-1 4.0SP4
Check Point Software Firewall-1 4.0SP3
Check Point Software Firewall-1 4.0SP2
Check Point Software Firewall-1 4.0SP1
Check Point Software Firewall-1 4.0
Check Point Software Firewall-1 3.0
Check Point Software Next Generation FP3 HF1
Check Point Software Next Generation FP2
Check Point Software Next Generation FP1
Check Point Software Next Generation
Check Point Software VPN-1 4.1SP4
Check Point Software VPN-1 4.1SP3
Check Point Software VPN-1 4.1SP2
Check Point Software VPN-1 4.1SP1
Check Point Software VPN-1 4.1
不受影响系统:
Check Point Software Next Generation FP3 HF2
描述:
BUGTRAQ  ID: 7161

Check Point FW-1 NG FP3包含syslog守护进程(默认为off)来重定向远程(如路由器)进入的syslog消息到Checkpoint的SmartTracker日志机制。

Check Point FW-1 syslog守护进程在处理转义序列时没有充分过滤,远程攻击者可以利用这个漏洞使攻击行为不给日志守护进程发现。

由于没有充分过滤非打印字符,攻击者可以提交包含转义序列的字符的日志消息给syslog守护程序,可导致产生欺骗日志,使日志不可信。

<*来源:Dr. Peter Bieringer (pbieringer@aerasec.de
  
  链接:http://www.aerasec.de/security/advisories/txt/checkpoint-fw1-ng-fp3-syslog-crash.txt
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Dr. Peter Bieringer (pbieringer@aerasec.de)提供了如下测试方法:

[evilhost]# echo -e "<189>19: 00:01:04: Test\a\033[2J\033[2;5m\033[1;31mHACKER~
ATTACK\033[2;25m\033[22;30m\033[3q" | nc -u firewall 514

建议:
临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 使用"tr"过滤日志输出:

[firewall]# fw log -tfnl | tr '\000-\011\013-\037\200-\377' '*'

厂商补丁:

Check Point Software
--------------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载升级到CheckPoint FP3 HF2版本:

http://www.checkpoint.com/techsupport/ng/fp3_hotfix.html

浏览次数:2960
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障