CERTA-2001-AVI-094

Vulnerability from certfr_avis - Published: - Updated:

Certains IDS peuvent être leurrés par des codes malicieux utilisant un format unicode particulier.

Description

Certains IDS (Intrusion Detection System ou Système de Détection d'Intrusions) utilisent des « signatures » basées sur la recherche de chaines de caractères dans les paquets qui transitent sur le réseau afin de détecter l'occurence d'une attaque.

Un utilisateur mal intentionné peut créer un code malicieux utilisant un codage unicode particulier (que seuls les serveurs web Internet Information Server utilisent) dans une requête HTTP afin de tromper les IDS.

Solution

Appliquer les correctifs selon les systèmes :

  • Cisco Secure Intrusion Detection System Sensor :

    ftp://ftp-eng.cisco.com/csids-sig-updates/ServicePacks/IDSK9-sp3.0-1.43-s6-0.43-bin

  • Pour les autres produits CISCO, il faut avoir un contrat de maintenance :

    http://www.cisco.com

  • Tous les produits ISS :

    http://www.iss.net/eval/eval.php

  • Realsecure Network Sensor :

    http://www.iss.net/db_data/xpu/RS.php

Les logiciels de détection d'intrusions suivant :

  • CISCO NetRanger ;
  • le module de détection d'intrusions des routeurs Catalyst 6000 ;
  • Dragon sensor 4.x ;
  • ISS realsecure Network Sensor 5.x, 6.x, avant XPU 3.2 et Server Sensor 6.0 et 5.5 pour Windows ;
  • les versions de snort antérieures à la version 1.8.1.

Il est possible que d'autres systèmes de détection d'intrusions soient sensibles à cette vulnérabilité, contactez le distributeur de votre système.

Impacted products
Vendor Product Description
References
Avis L139 du CIAC None vendor-advisory
L'avis L-139 du CIAC : - other
L'avis Cisco : - other

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eLes logiciels de d\u00e9tection d\u0027intrusions suivant :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eCISCO NetRanger ;\u003c/LI\u003e    \u003cLI\u003ele module de d\u00e9tection d\u0027intrusions des routeurs Catalyst    6000 ;\u003c/LI\u003e    \u003cLI\u003eDragon sensor 4.x ;\u003c/LI\u003e    \u003cLI\u003eISS realsecure Network Sensor 5.x, 6.x, avant XPU 3.2 et    Server Sensor 6.0 et 5.5 pour Windows ;\u003c/LI\u003e    \u003cLI\u003eles versions de snort ant\u00e9rieures \u00e0 la version 1.8.1.\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eIl est possible que d\u0027autres syst\u00e8mes de d\u00e9tection  d\u0027intrusions soient sensibles \u00e0 cette vuln\u00e9rabilit\u00e9, contactez le  distributeur de votre syst\u00e8me.\u003c/P\u003e",
  "content": "## Description\n\nCertains IDS (Intrusion Detection System ou Syst\u00e8me de D\u00e9tection\nd\u0027Intrusions) utilisent des \u00ab signatures \u00bb bas\u00e9es sur la recherche de\nchaines de caract\u00e8res dans les paquets qui transitent sur le r\u00e9seau afin\nde d\u00e9tecter l\u0027occurence d\u0027une attaque.\n\nUn utilisateur mal intentionn\u00e9 peut cr\u00e9er un code malicieux utilisant un\ncodage unicode particulier (que seuls les serveurs web Internet\nInformation Server utilisent) dans une requ\u00eate HTTP afin de tromper les\nIDS.\n\n## Solution\n\nAppliquer les correctifs selon les syst\u00e8mes :\n\n-   Cisco Secure Intrusion Detection System Sensor :\n\n        ftp://ftp-eng.cisco.com/csids-sig-updates/ServicePacks/IDSK9-sp3.0-1.43-s6-0.43-bin\n\n-   Pour les autres produits CISCO, il faut avoir un contrat de\n    maintenance :\n\n        http://www.cisco.com\n\n-   Tous les produits ISS :\n\n        http://www.iss.net/eval/eval.php\n\n-   Realsecure Network Sensor :\n\n        http://www.iss.net/db_data/xpu/RS.php\n",
  "cves": [],
  "links": [
    {
      "title": "L\u0027avis L-139 du CIAC :",
      "url": "http://www.ciac.org/ciac/bulletins/l-139.shtml"
    },
    {
      "title": "L\u0027avis Cisco :",
      "url": "http://www.cisco.com/warp/public/707/cisco-intrusion-detection-obfuscation-vuln-pub.shtml"
    }
  ],
  "reference": "CERTA-2001-AVI-094",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-09-13T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Possibilit\u00e9 d\u0027obtention de faux n\u00e9gatifs sur certains ids"
    }
  ],
  "summary": "Certains IDS peuvent \u00eatre leurr\u00e9s par des codes malicieux utilisant un\nformat unicode particulier.\n",
  "title": "Attaques non d\u00e9tect\u00e9es par certains IDS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis L139 du CIAC",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.