BlackICE MailSlot堆溢出检查远程拒绝服务漏洞

发布日期：2006-07-26
更新日期：2006-07-27

受影响系统：

ISS RealSecure Network Sensor 7.0
ISS RealSecure Server Sensor 7.0
ISS BlackIce Server Protection 3.6
ISS RealSecure Desktop 7.0
ISS BlackICE PC Protection 3.6
ISS Proventia Server
ISS Proventia M系列
ISS Proventia G系列
ISS Proventia Desktop
ISS Proventia A系列

描述：

---

BUGTRAQ  ID: 19178
CVE(CAN) ID: CVE-2006-3840

ISS是国际知名的安全厂商，提供多种防火墙和入侵检测设备。

ISS的保护产品在对SMB_MailSlot_Heap_Overflow(MS06-035/KB917159)漏洞的检测中存在一个拒绝服务漏洞。通过构造特定攻击报文，可以导致检测代码陷入死循环。这可能导致某些ISS保护产品甚至操作系统停止响应。例如，对于BlackICE，会使得BlackICE所在主机网络中断，同时CPU占用率接近百分之百。停止BlackICE引擎并不能恢复正常，需要重启操作系统。

攻击者只需要发送单包就可以触发此漏洞，无需真正建立SMB会话。

<*来源：Nsfocus安全小组 （security@nsfocus.com）
  
  链接：http://xforce.iss.net/xforce/alerts/id/230
        http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=43
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 在防火墙上过滤TCP/445和TCP/139端口。

厂商补丁：

ISS
---
目前厂商已经发布了升级补丁以修复这个安全问题，您可以在下列地址看到ISS安全公告的详细内容：

http://xforce.iss.net/xforce/alerts/id/230

ISS发布了下列XPU以修复该漏洞：

RealSecure Network 7.0, XPU 24.40
Proventia A Series, XPU 24.40
Proventia G Series, XPU 24.40/1.79
Proventia M Series, XPU 1.79
RealSecure Server Sensor 7.0, XPU 24.40
Proventia Server 1.0.914.1880
RealSecure Desktop 7.0 epk
Proventia Desktop 8.0.812.1790/8.0.675.1790
BlackICE PC Protection 3.6 cpk
BlackICE Server Protection 3.6 cpk