Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Check Point Firewall-1 NG SmartDefense RFC2397 Bypass Faille

22/01/2007 08H48
Référence Secunia : SA13792  
Date de publication : 2005-01-13
Dernière mise à jour : 2005-01-17

Risque : Non Critique. Niveau 1 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Solution de l'éditeur


Produit :
Check Point VPN-1/FireWall-1 NG avec Application Intelligence (AI)

Description :
Une faiblesse a été rapportée dans Check Point Firewall-1 NG avec SmartDefense, qui permet aux malwares de passer outre la détection.

Le défaut est causé du fait d'un manque de support RFC2397. Cela pourrait être exploité pour passer outre la détection de malware en envoyant des fichiers images malicieux, qui sont encodés en base64 et inclus dans un fichier HTML en accord avec le standard spécifié dans la RFC2397, qui est supportée par bon nombre d'applications clients capables de traiter des fichiers HTML (par ex. les clients de messagerie et butineurs).

Un PoC a été publié, qui embarque une image qui tente d'exploiter la vulnérabilité GDI+ JPEG dans Microsoft Windows.

Ceci a été rapporté comme affectant Check Point Firewall-1 NG R55 HFA08 avec SmartDefense 541041226. Les autres versions peuvent également être vulnérables.


Solutions :
L'éditeur recommande d'utiliser la nouvelle option: "Enable Block Encoded images". Note: Cela pourrait impacter les fonctionnalités de certains sites web et courriels.

Appliquer les correctifs pour corriger les vulnérabilités.


Vulnérabilité découverte par :

Darren Bounds, Intrusense.
Historique :
2005-01-17: Solution mise à jour.

Référence :
http://www.intrusense.com/av-bypass/image-bypass-advisory.txt


Autres références :

SA12528:
http://secunia.com/advisories/12528/

RFC2397:
http://www.ietf.org/rfc/rfc2397.txt




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.