红区RedDB存档异步复制漏洞

概述

红区¹RedDB ASA-5500系列存档存储设备的异步复制例程中存在一漏洞，其使得部分恶意存档内容能够将任意数据加载至受保护的内存区域，并在存档媒体读取时被作为代码执行。

此漏洞的产生归因于系统对存档的内容过滤不完全，使得存档数据和将内存区域标记为“使用中”的操作系统例程之间能够发生奇术污染。

远程攻击者能够通过将一特意构造的自修改信息危害插入受影响的数据库系统，从而实现对此漏洞的利用。该信息危害应能够在插入后自变为能够触发该漏洞的形式。

受影响的产品

在以下产品中运行的红区RedDB软件可能受此漏洞影响：

入侵指标²

此漏洞已知被Adament [原文如此³] 广告植入病毒⁴利用。若出现此类漏洞利用现象，您的系统很可能已被入侵。可以通过以下症状检测：

• 在从被篡改的设备处取回的资料上出现多余的广告条幅；
• 在纸张类存档媒体上出现动画广告；
• 出现有关保密人员历史的指向性广告；
• 联网打印机开始打印含有模因元素的优惠券。

临时变通方案⁵

为了减少此漏洞导致不良后果的可能，可以采取以下措施：

• 确保网络已配备最新的主动信息危害检测系统；
• 在所有与受影响系统交互的计算机上安装Adblock软件；
• 在所有联网打印机上安装模因过滤防火墙；
• 训练受影响系统的用户如何识别、报告计算机安全问题。

已修复的软件

在考虑升级软件的同时，建议客户查阅红区安全公告与响应Redzone Security Advisories and Responses档案，并参考后续公告以确认暴露程度和完整的升级方案。

在所有情况下，客户都应该确保计划升级的设备拥有足够的内存，同时确认新发行版仍然支持当前的软硬件配置。如果信息不明确，建议客户联系红区技术支持中心Redzone Technical Assistance Center（TAC）或签约维护供应商。

利用与公开情况

红区安全事件响应团队Redzone Security Incident Team（RSIT）发现此漏洞已被Adament [原文如此] 广告植入病毒成功利用。RSIT未发现任何关于此漏洞的以往公开信息。

来源

2015-07-07: 来自SCP基金会MTF Rho-9的Gloria McDuffie和Walter Sotomayor向红区报告了此漏洞。