ISS BlackICE和RealSecure远程拒绝服务漏洞

漏洞信息详情

ISS BlackICE和RealSecure远程拒绝服务漏洞

• CNNVD编号：CNNVD-200205-101
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0237
  
• 漏洞类型：
  
  
  边界条件错误
  
• 发布时间：
  
  2002-02-04
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  iss
• 漏洞来源：
  Matt Taylor※ quisi…

Internet Security Systems的BlackICE Defender、BlackICE Agent和RealSecure Server Sensor是运行在Microsoft Windows环境下的网络入侵检测系统。
远程攻击者可以用ping flood攻击，使这些这些产品产生拒绝服务。
连续发送10000个字节的ICMP Echo Request (Ping)包到目标主机，会引起主机重启。
只有Windows 2000和XP的主机会受到这个漏洞的影响。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

BlackICE Agent：

添加以下的规则到ICEcap Manager，以阻止ICMP Echo Requests到所有的管理控制端：

1、选择防火墙规则进行修改。

2、点击防火墙规则右边的”Add Setting”。

3、改变ICMP的类型。

4、在规则详述窗口输入”8:0″。

5、确定在设定窗口选择了拒绝。

6、点击”Save Settings”。

这样就添加了规则到ICEcap的策略来阻止控制端报告所有的Echo Requests。

BlackICE Defender：

添加以下的规则来阻止ICMP Echo Requests。

1、打开firewall.ini文件。

2、在[MANUAL ICMP ACCEPT]下面添加以下一行：

REJECT, 8:0, ICMP, 2001-10-15 20:28:53, PERPETUAL, 4000, BIGUI

3、保存firewall.ini文件。

4、下一次打开BlackICE的时候，当弹出窗口”A configuration file change was detected.” 时点击OK。

RealSecure Server Sensor：

Internet Security Systems RealSecure Server Sensor的用户可以用以下的步骤来阻止ICMP包。X-Force推荐管理员在使用这些规则之前先研究一下在他们的环境下阻止ICMP会发生什么情况。

1、打开你要添加规则的Server Sensor policy。

2、选择Protect tab，打开Protect folder，并且打开Firecell folder。

3、选择ICMP Inbound区。

4、点击Add来建立新规则。

5、输入firecell规则的名字，比如Block_ICMP，然后点击OK。一个新规则就添加到ICMP Inbound区的策略里了。

6、选择你刚建立的规则的属性。

7、在事件的Priority框设置优先级。

8、让IP地址栏空着。

9、在Actions区，选择Action的第3列”Not in the range of listed IP addresses, drop the packet and generate the selected responses”。

10、在Response区，选择当规则触发时探测器的反应。

11、保存探测器的策略。

来源: XF
名称: blackice-ping-flood-dos(8058)
链接:http://www.iss.net/security_center/static/8058.php

来源: ISS
名称: 20020204 DoS and Potential Overflow Vulnerability in BlackICE Products
链接:http://www.iss.net/security_center/alerts/advise109.php

来源: BUGTRAQ
名称: 20020209 ALERT: ISS BlackICE Kernel Overflow Exploitable
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101321744807452&w=2

来源: BID
名称: 4025
链接:http://www.securityfocus.com/bid/4025

来源: NTBUGTRAQ
名称: 20020209 ALERT: ISS BlackICE Kernel Overflow Exploitable
链接:http://marc.theaimsgroup.com/?l=ntbugtraq&m=101353165915171&w=2

来源: BUGTRAQ
名称: 20020206 Black ICE Ping Vulnerability Side Note
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101302424803268&w=2

来源: BUGTRAQ
名称: 20020204 Vulnerability in Black ICE Defender
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101286393404301&w=2