DFN-CERT-2016-1051 Symantec Critical System Protection, Symantec Data Center Server, SES, SEP, Web Gateway: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit Administratorrechten [Linux][Unix][Apple][Windows][Netzwerk]

DFN-CERT-2016-1051 Symantec Critical System Protection, Symantec Data Center Server, SES, SEP, Web Gateway: Mehrere Schwachstellen ermöglichen u.a. das Ausführen beliebigen Programmcodes mit Administratorrechten [Linux][Unix][Apple][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Symantec Critical System Protection (SCSP) 5.2.9 MP6
Symantec Embedded Security (SES) Critical System Protection 1.0 MP5
Symantec Embedded Security (SES) Critical System Protection for Controllers
and Devices 6.5.0 MP1
Symantec Endpoint Protection <= 12.1.6 MP4 Symantec Antivirus Engine (AVE) Symantec Data Center Security Server Advanced Server 6.5 MP1 Symantec Data Center Security Server Advanced Server 6.6 Symantec Web Gateway Betroffene Plattformen: Symantec Critical System Protection (SCSP) Symantec Embedded Security (SES) Critical System Protection Symantec Data Center Security Symantec Web Gateway Apple Mac OS X GNU/Linux Microsoft Windows Mehrere Schwachstellen in der Symantec Decomposer Engine betreffen unter anderem die Produkte Symantec Critical System Protection (CSP), Symantec Data Center Security (DCS), Symantec Embedded Security (SES), Symantec Endpoint Protection SEP und Symantec Web Gateway. Diese Schwachstellen ermöglichen einem entfernten, nicht authentifizierten Angreifer das Ausführen beliebigen Programmcodes mit Systemrechten und die Durchführung von Denial-of-Service (DoS)-Angriffen. Das Google Project Zero Team liefert in einem Blog-Artikel zu der in ihren Auswirkungen ähnlichen Schwachstelle CVE-2016-2208 weitere Informationen. Diese Schwachstelle in der Symantec Antivirus Engine, welche unter anderem von Symantec Endpoint Protection verwendet wird, wurde bereits mit Symantec Security Advisory SYM16-008 behandelt (siehe früheres Advisory) und ist deshalb hier nicht aufgeführt. Symantec informiert über die Schwachstellen und stellt für Symantec Embedded Security: Critical System Protection (SES:CSP) in den Versionen 1.0 MP5 und 6.5.0 MP1, für Symantec Critical System Protection (SCSP) in Version 5.2.9 MP6, für Symantec Data Center Security: Server Advanced (DCS:SA) in den Versionen 6.5 MP1 und 6.6 MP1 sowie für das Symantec Web Gateway Sicherheitsupdates über Definition-Updates bereit. Für Symantec Endpoint Protection 12.1 steht die Version 12.1-RU6-MP5 als Sicherheitsupdate zur Verfügung, auf Mac OS X kann hierfür das LiveUpdate genutzt werden. Die Symantec Decomposer Engine ist Teil der Symantec Scan Engine, die als Server-Software konzipiert ist und auch von Herstellern anderer Antivirus-Anwendungen eingesetzt wird. Patch: Symantec Security Advisory SYM16-010 http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160628_00

CVE-2016-3646: Schwachstelle in Symantec Decomposer Engine ermöglicht
Ausführen beliebigen Programmcodes

In der Bibliothek ‘Dec2ZIP’ der Symantec Scan Engine, die für die
Dekomprimierung von ZIP-Archivdateien zuständig ist, existiert eine
Schwachstelle, die auf der fehlenden Überprüfung von Speichergrenzen
(Missing Bounds Check) in der Routine ‘ALPkOldFormatDecompressor::UnShrink’
basiert. Die Routine wird üblicherweise mit ‘NT AUTHORITY\SYSTEM’- (Windows)
oder ‘root’-Rechten (Linux, Mac OS X) ausgeführt. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service (DoS)-Zustand auszulösen und möglicherweise beliebigen
Programmcode mit Systemrechten auszuführen.

CVE-2016-3645: Schwachstelle in Symantec Decomposer Engine ermöglicht nicht
spezifizierte Angriffe

In der ‘Dec2TNEF’ Bibliothek der Symantec Scan Engine, die für das
Verarbeiten von TNEF Dateien zuständig ist, existiert eine Schwachstelle,
durch die es zu einem Ganzzahl-Überlauf (Integer Overflow) kommen kann. Die
Routine ‘Attachment::setDataFromAttachment’ der Bibliothek enthält einen
Programmierfehler, durch den Zahlenwerte nicht ordnungsgemäß überprüft
werden. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle eventuell für weitere Angriffe ausnutzen.

CVE-2016-3644: Schwachstelle in Symantec Decomposer Engine ermöglicht
Ausführen beliebigen Programmcodes

In der Komponente ‘MIME-Parser’ der Symantec Scan Engine existiert eine
Schwachstelle, durch die es zu einem Pufferüberlauf kommen kann. Die
Symantec Scan Engine versucht automatisch Komponenten aus Archiven oder
anderen Multipart-Containern zu säubern oder zu entfernen, die sie als
bösartig identifiziert hat. Der Programmcode, der in
‘CMIMEParser::UpdateHeader()’ verwendet wird, um Komponenten von
MIME-codierten Nachrichten zu entfernen, geht davon aus, dass Dateinamen
nicht länger als 77 Zeichen sein können. Zur Säuberung wird zunächst der
Content-Type auf ‘text / plain’ geändert und anschließend der Dateiname in
‘DELETED.TXT’ geändert. In der ersten Phase dieses Prozesses bleibt der
ursprüngliche Dateiname erhalten, obwohl der Puffer bereits für den
endgültigen Dateinamen vorbereitet ist. Ein entfernter, nicht
authentifizierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Speicherpufferüberlauf zu verursachen und dadurch beliebigen Programmcode
mit den Rechten des Dienstes ausführen.

CVE-2016-2211: Schwachstelle in Symantec Decomposer Engine ermöglicht
Ausführen beliebigen Programmcodes

Für die Komprimierung von CAB-Dateien verwendet der Decomposer der Symantec
Antivirus Scan Engine Programmcode des quelloffenen Pakets ‘libmspack’ in
einer veralteten Version. ‘libmspack’ läuft auch beim Dekomprimieren von
nicht vertrauenswürdigen Binaries, die über das Netzwerk empfangen werden,
als ‘NT AUTHORITY\SYSTEM’ (Windows) oder ‘root’ (Linux, Mac OS X).
Zahlreiche bekannte kritische Speicherkorruptions-Schwachstellen in
veralteten Versionen von ‘libmspack’ sind somit auch in Symantec Enterprise
und Norton Produkten enthalten, welche die Symantec Scan Engine verwenden.
Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um beliebigen Programmcode mit Systemrechten auszuführen.

CVE-2016-2210: Schwachstelle in Symantec Decomposer Engine ermöglicht
Ausführen beliebigen Programmcodes

In der Bibliothek ‘Dec2LHA’ der Symantec Scan Engine, die für das
Dekomprimieren von LZH und LHA Archivdateien zuständig ist, existiert eine
Schwachstelle, durch die es zum Pufferüberlauf (Stack Buffer Overflow)
kommen kann. Die Routine ‘CSymLHA::get_header’ der Bibliothek enthält einen
Programmierfehler, durch den Speichergrenzen nicht ordnungsgemäß überprüft
werden. Die Routine wird üblicherweise mit ‘SYSTEM’- oder ‘root’-Rechten
ausgeführt. Ein entfernter, nicht authentifizierter Angreifer kann diese
Schwachstelle ausnutzen, um einen Denial-of-Service (DoS)-Zustand auszulösen
oder möglicherweise beliebigen Programmcode mit Systemrechten auszuführen.

CVE-2016-2209: Schwachstelle in Symantec Decomposer Engine ermöglicht
Ausführen beliebigen Programmcodes

In der Bibliothek ‘Dec2SS’ der Symantec Scan Engine, die für die
Verarbeitung von Microsoft PowerPoint (PPT)-Dateien zuständig ist, existiert
eine Schwachstelle, durch die es zu einem Pufferüberlauf (Stack Buffer
Overflow) kommen kann. Die Routine wird üblicherweise mit ‘SYSTEM’ oder
‘root’ Rechten ausgeführt. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um einen Pufferspeicherüberlauf zu
verursachen und dadurch einen Denial-of-Service (DoS)-Zustand auslösen sowie
möglicherweise beliebigen Programmcode mit Systemrechten ausführen.

CVE-2016-2207: Schwachstelle in Symantec Decomposer Engine ermöglicht
Ausführen beliebigen Programmcodes

Für die Dekomprimierung von RAR-Dateien verwendet der Decomposer der
Symantec Scan Engine Programmcode des quelloffenen Pakets ‘unrar’ von RAR
Labs in der veralteten Version 4.1.4. ‘unrar’ läuft auch beim Dekomprimieren
von nicht vertrauenswürdigen Binaries, die über das Netzwerk empfangen
werden, als ‘NT AUTHORITY\SYSTEM’ (Windows) oder ‘root’ (Linux, Mac OS X).
Zahlreiche bekannte kritische Speicherkorruptions-Schwachstellen in ‘unrar’
Versionen bis 5.3.11 sind somit auch in Symantec Enterprise und Norton
Produkten enthalten, welche die Symantec Scan Engine verwenden. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen
ausnutzen, um beliebigen Programmcode mit Systemrechten auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1051/

Symantec Security Advisory SYM16-010:
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2016&suid=20160628_00

Google Project Zero Team Artikel: How to Compromise the Enterprise Endpoint:
http://googleprojectzero.blogspot.de/2016/06/how-to-compromise-enterprise-endpoint.html

Schwachstelle CVE-2016-2207 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2207

Schwachstelle CVE-2016-2209 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2209

Schwachstelle CVE-2016-2210 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2210

Schwachstelle CVE-2016-2211 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2211

Schwachstelle CVE-2016-3644 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3644

Schwachstelle CVE-2016-3645 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3645

Schwachstelle CVE-2016-3646 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3646

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben