Symantec企业级防火墙通报守护程序SNMP数据丢失漏洞

发布时间：2002-02-23
更新时间：2002-02-23
严重程度：中
威胁程度：隐蔽攻击
错误类型：意外情况处置错误
利用方式：服务器模式

BUGTRAQ ID：4139

受影响系统

Symantec Enterprise Firewall 6.5.2 NT/2000
   - Microsoft Windows 2000 Advanced Server SP1
   - Microsoft Windows 2000 Advanced Server SP2
   - Microsoft Windows 2000 Professional SP1
   - Microsoft Windows 2000 Professional SP2
   - Microsoft Windows 2000 Server SP1
   - Microsoft Windows 2000 Server SP2
   - Microsoft Windows 2000 Workstation SP1
   - Microsoft Windows 2000 Workstation SP2
   - Microsoft Windows 2000 Workstation SP3
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6a

详细描述
Symantec Enterprise Firewall (SEP) 是一个高性能防火墙解决方案，适用于
WINDOWS和SOLARIS操作系统，SEP包括一个为重要日志信息服务的通报机制，这
通过一个通报守护程序实现，它通过SNMP TRAP来发送通告给指定的服务器。

在某些条件下，SNMP报告机制存在问题会导致转发信息失败，当信息超过1024字符
时候会出现这种情况。虽然错误日志记录了，但没有额外的通报信息发送，利用
这个漏洞可以导致丢失信息，允许攻击者对防火墙或者内部系统的攻击不被发现。

测试代码
见描述

解决方案
临时解决方案：

通报守护程序可以配置成不同于SNMP的方式来与外界通信。

相关信息
Martin O'Neal <BugTraq@corsaire.com>.
参考：http://online.securityfocus.com/archive/1/257300
相关主页：http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=47

最近严重漏洞

Symantec企业级防火墙通报守护程序SNMP数据丢失漏洞