CVE-2003-0642
CVSS2.1
发布时间 :2003-08-27 00:00:00
修订时间 :2016-10-17 22:36:18
NMCOS    

[原文]WatchGuard ServerLock for Windows 2000 before SL 2.0.4 allows local users to access kernel memory via a symlink attack on \Device\PhysicalMemory.


[CNNVD]WatchGuard ServerLock物理内存设备访问漏洞(CNNVD-200308-171)

        
        WatchGuard ServerLock是一款用于保护操作系统完整性的工具,可使任何人不能修改部分文件,部分注册表键值和装载未明驱动。
        WatchGuard ServerLock没有充分处理到内存物理设备的连接,本地攻击者可以利用这个漏洞绕过ServerLock安全设置,装载任意恶意程序,控制整个系统。
        ServerLock通过限制访问\Device\PhysicalMemory来不允许访问内核内存,不过由于对符号链接缺少充分安全加固,通过建立部分符号链接到这个对象,攻击者就可以利用这个符号链接来打开这个设备。打开这个设备就可以装载任意后门等代码,控制整个系统。
        

- CVSS (基础分值)

CVSS分值: 2.1 [轻微(LOW)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: LOCAL [漏洞利用需要具有物理访问权限或本地帐户]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/a:watchguard:serverlock:2.0.1
cpe:/a:watchguard:serverlock:2.0.3
cpe:/a:watchguard:serverlock:2.0.2
cpe:/a:watchguard:serverlock:2.0

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-0642
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2003-0642
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200308-171
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=105848106631132&w=2
(UNKNOWN)  BUGTRAQ  20030717 Bypassing ServerLock protection on Windows 2000
http://www.securityfocus.com/bid/8223
(VENDOR_ADVISORY)  BID  8223
http://xforce.iss.net/xforce/xfdb/12666
(UNKNOWN)  XF  serverlock-physicalmemory-symlink(12666)

- 漏洞信息

WatchGuard ServerLock物理内存设备访问漏洞
低危 访问验证错误
2003-08-27 00:00:00 2005-10-20 00:00:00
本地  
        
        WatchGuard ServerLock是一款用于保护操作系统完整性的工具,可使任何人不能修改部分文件,部分注册表键值和装载未明驱动。
        WatchGuard ServerLock没有充分处理到内存物理设备的连接,本地攻击者可以利用这个漏洞绕过ServerLock安全设置,装载任意恶意程序,控制整个系统。
        ServerLock通过限制访问\Device\PhysicalMemory来不允许访问内核内存,不过由于对符号链接缺少充分安全加固,通过建立部分符号链接到这个对象,攻击者就可以利用这个符号链接来打开这个设备。打开这个设备就可以装载任意后门等代码,控制整个系统。
        

- 公告与补丁

        厂商补丁:
        WatchGuard
        ----------
        ServerLock 2.0.4版本不存在此漏洞,可访问WatchGuard LiveSecurity website获得相关信息:
        https://www.watchguard.com/archive/softwarecenter.asp

- 漏洞信息

6581
WatchGuard ServerLock Symlink Kernel Memory Access
Local Access Required Race Condition
Loss of Confidentiality

- 漏洞描述

Unknown or Incomplete

- 时间线

2003-07-17 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete

- 漏洞信息

WatchGuard ServerLock Physical Memory Device Access Vulnerability
Access Validation Error 8223
No Yes
2003-07-17 12:00:00 2009-07-11 10:56:00
Discovery of this vulnerability has been credited to Jan Rutkowski <jkrutkowski@elka.pw.edu.pl>.

- 受影响的程序版本

WatchGuard ServerLock 2.0.3
WatchGuard ServerLock 2.0.2
WatchGuard ServerLock 2.0.1
WatchGuard ServerLock 2.0
WatchGuard ServerLock 2.0.4

- 不受影响的程序版本

WatchGuard ServerLock 2.0.4

- 漏洞讨论

WatchGuard ServerLock has been reported prone to a vulnerability that may allow a local attacker to bypass ServerLock controls.

The issue presents itself because ServerLock fails to sufficiently secure the physical memory of a device. Reportedly, a local attacker may subvert ServerLock access controls by creating symlinks to a target device.

Note that while this vulnerability has been reported to affect WatchGuard ServerLock version 2.0.3 on Windows 2000 systems, previous versions are also likely vulnerable. Other platforms are not known to be affected.

- 漏洞利用

There is no exploit required.

- 解决方案

WatchGuard has addressed this issue in ServerLock version 2.0.4. For information on how to obtain patches, please visit the WatchGuard LiveSecurity website referenced below.


WatchGuard ServerLock 2.0

WatchGuard ServerLock 2.0.1

WatchGuard ServerLock 2.0.2

WatchGuard ServerLock 2.0.3

- 相关参考

 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站