发布日期：2006-12-18
更新日期：2006-12-19

受影响系统：

Mandiant First Response 1.1

不受影响系统：

Mandiant First Response 1.1.1

描述：

---

BUGTRAQ  ID: 21548
CVE(CAN) ID: CVE-2006-6475,CVE-2006-6476,CVE-2006-6477

Mandiant First Response是一款事件响应工具，用于收集所运行进程、系统服务之类的系统信息。

Mandiant First Response中存在多个安全漏洞，具体如下：

#1 畸形客户端请求导致SSL代理拒绝服务

如果以守护程序模式运行的话，First Response代理（FRAgent.exe）会通过HTTP或修改过的HTTPS实现接受First Response控制台的远程连接。如果攻击者向启用了SSL的代理发送了一系列特制请求的话，就会强制代理出现异常，之后代理的套接字会陷入无限的CLOSE_WAIT状态，所有之后的连接尝试也都会被拒绝，必须重启服务才能恢复连接。

#2 通过代理劫持导致HTTP或SSL代理拒绝服务

FRAgent守护程序允许其他进程绑定到正在监听的同一套接字地址。如果FRAgent被绑定到了0.0.0.0通配符地址（所有接口）的话，恶意进程就可以通过绑定到特定IP地址的同一端口上拦截客户端连接。通过使用不响应的监听程序劫持代理，攻击者就可以阻止所有合法的客户端连接。

#3 通过HTTP代理劫持控制命令控制台和数据

如果HTTP FRAgent守护程序被劫持的话，攻击者就可以控制客户端所发送和处理的响应数据，以及其他一些客户端行为。恶意的进程可以执行中间人攻击，重新定向和修改客户端与合法代理之间的所有请求和响应。攻击者还可以发送特制的HTTP响应，强制客户端访问任意URL和/或下载任意内容。

<*来源：Brian Reilly （brian_reilly@symantec.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=116646610719299&w=2
*>

建议：

---

厂商补丁：

Mandiant
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mandiant.com/firstresponse.htm

浏览次数：3751
严重程度：0（网友投票）