[Security Hole] ISS BlackICE |
||
|---|---|---|
| #0
| ||
|
20.06.2003, 14:49
Ehrenmitglied
Beiträge: 831 |
||
 
|
|
|
|
09.08.2003, 13:45
Member
Beiträge: 92 |
#2
Hallo Poiin2000,
ich habe mal eine Frage zu den Meldungen (intruder's) bei den Firewalls und BlackIce. Woran kann man erkennen ob es sich um einen 'Angreifer' oder 'Spion' bei den Intruder's handelt oder z.B. wenn man ftp Downloads macht nicht um wichtige Einstellungen die man akzeptieren also nicht blocken sollte, um eine Verbindung zum Server herzustellen. Ich bekomme von BlackIce immer 'Angreifer' Meldungen von z.B. modemcablel100.156-201 oder DB32f.pppool.de (das ist so eine Autosharing Firma glaube ich). Welcher ist Freund oder Feind? Vielen Dank mfgTS7... |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Vulnerability : ISS BlackICE PC Protection und eventuell andere ISS Intrusion Detection-Systeme
Patch : http://www.iss.com
http://www.computec.ch/mruef/advisories/black_ice_pc_protection_xss_evasi
on.txt
Die BlackICE PC Protection (früher unter dem Namen BlackICE Defender bekannt) ist eine hostbasierendes, für Workstations zugeschnittenes Intrusion Detection-System. Die kommerzielle Lösung wird von der Firma Internet Security Systems (ISS) betreut und vertrieben. BlackICE PC Protection ist in der Lage Cross Site Scripting-Zugriffe zu erkennen und Alarm zu schlagen. Dabei werden Anfragen auf dem TCP-Port 80 (http) nach der Zeichenkette "script" überprüft. Ist diese vorhanden, wird ein Cross Site Scripting Angriff vermutet. Das Problem besteht nun darin, dass nur GET-Zugriffe einer Überprüfung unterzogen werden. Andere HTTP-Requests wie HEAD, PUT, DELETE und TRACE werden nicht nach der script-Zeichenkette abgesucht. Einem Angreifer ist es unter Umständen möglich, den Cross Site Scripting Angriff durch die Kommandos PUT und DELETE zu realisieren und vor dem Intrusion Detection-System zu verbergen. Eventuell sind auch andere ISS Intrusion Detection-Produkte (siehe http://www.iss.net/security_center/reference/2000640.html) von dieser Schwachstelle betroffen.
Man sieht hier, dass ISS darauf bedacht war, die Performance ihrer Lösung hoch zu halten. Aus diesem Grund werden möglichst wenige Daten nach Auffälligkeiten durchsucht. Dass dieser Schuss auch nach hinten losgehen kann, beweist die hier beschriebene Sicherheitslücke. Andere Intrusion Detection-Systeme, wie zum Beispiel das freie Snort, weisen diese Schwachstelle nicht auf. Sie suchen in der Standardkonfiguration sämtliche HTTP-Anfragen nach der script-Zeichenkette ab.
quelle scip
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de