红区RedDB存档异步复制漏洞

redzone3.png

红区RedDB存档异步复制漏洞

公告编号:
redzone-sa-43647822-async-copy
最后更新:
2015-7-13
发布日期:
2015-7-10
版本数1.1:
最终版本
影响得分:
基础 - 10.0
临时变通方案存在:
红区Bug编号:
RZux59834
RZux59902

CVE-2015-2804
CWE-362
CWE-689

概述

红区1RedDB ASA-5500 Series存档存储设备的异步复制例程中的漏洞允许特定的恶意存档内容,导致任意数据被加载至受保护的内存区域,并在归档媒体读取时被作为代码执行。

此漏洞的产生归因于系统对存档的内容过滤不完全,导致其允许存档数据和将内存区域标记为“使用中”的操作系统例程之间的奇术污染。

远程攻击者能够通过将一特意构造的自修改信息危害插入一受影响的数据库系统实现对此漏洞的利用。该信息危害应能够在插入后自变为能够触发该漏洞的形式。

受影响的产品

在以下产品中运行的红区RedDB软件可能受此漏洞影响:

产品 于以下版本修复:
红区RedDB ASA-5500 Series存档存储设备 4.3.30
红区RedDB ASA-5500-P Series物理文档存储设备 4.3.31
红区信息危害内容管理系统(ICMS) 2.14.10
红区分布式远程数据库系统(DND) 1.19.11

入侵指标2

此漏洞已知被Adament [原文如此3] 广告植入病毒4利用。该利用方式的存在是您的系统已被篡改的有力证据。可以通过以下症状检测:

  • 在从被篡改的设备处取回的资料上出现多余的广告条幅;
  • 在纸张类存档媒体上出现动画广告;
  • 出现有关保密人员历史的指向性广告;
  • 联网打印机开始打印含有模因元素的优惠券。

临时解决措施5

可以采取以下措施以减少此漏洞导致不良后果的可能性:

  • 确保网络已配备最新的主动信息危害检测系统;
  • 在任何与受影响系统交互的计算机上安装Adblock软件;
  • 在所有联网打印机上安装模因过滤防火墙;
  • 训练使用受影响系统的用户如何识别、报告计算机安全问题。

已修复的软件

在考虑升级软件的同时,建议客户查看红区安全公告与响应Redzone Security Advisories and Responses档案,并查看后续公告,以确定暴露程度和完整的升级方案。

在所有情况下,客户都应该确保即将升级的设备拥有足够的内存,同时确认当前的硬件和软件配置在新发行版中仍然受到支持。如果信息不明确,建议客户联系红区技术支持中心Redzone Technical Assistance Center(TAC)或签约维护供应商。

利用与公开情况

红区安全事件响应团队Redzone Security Incident Team(RSIT)发现此漏洞已被Adament [原文如此] 广告植入病毒成功利用。RSIT未发现任何关于此漏洞的以往公开信息。

来源

2015-07-07: 来自SCP基金会MTF Rho-9的Gloria McDuffie和Walter Sotomayor向红区报告了此漏洞。

除非特别注明,本页内容采用以下授权方式: Creative Commons Attribution-ShareAlike 3.0 License