Vigil@nce : Sophos AV, déni de service via RMS
janvier 2009 par Vigil@nce
Un attaquant peut envoyer un message GIOP illicite afin de forcer
le redémarrage de Remote Management System.
– Gravité : 2/4
– Conséquences : déni de service du service
– Provenance : client intranet
– Moyen d’attaque : aucun démonstrateur, aucune attaque
– Compétence de l’attaquant : expert (4/4)
– Confiance : confirmé par l’éditeur (5/5)
– Diffusion de la configuration vulnérable : élevée (3/3)
– Date création : 16/01/2009
PRODUITS CONCERNÉS
– Sophos Anti-Virus
DESCRIPTION DE LA VULNÉRABILITÉ
Le service RMS (Remote Management System) écoute sur le port IIOP
(Internet Inter-Orb Protocol) 8193. TAO est un ORB (Object Request
Broker) pour langage C++, utilisé par RMS. On peut noter que le
système de mise à jour des signatures n’utilise pas RMS.
Lorsqu’un attaquant envoie un grand message GIOP sur le port IIOP,
une erreur se produit dans TAO et redémarre RMS. Les détails
techniques ne sont pas connus.
Un attaquant peut donc envoyer un message GIOP illicite afin de
forcer le redémarrage de Remote Management System.
CARACTÉRISTIQUES
– Références : 51420, BID-33313, VIGILANCE-VUL-8402
– Url : http://vigilance.fr/vulnerabilite/Sophos-AV-deni-de-service-via-RMS-8402