ISSがBlackICEクラッシュの防止策を提案 | ScanNetSecurity
2021.01.18(月)

ISSがBlackICEクラッシュの防止策を提案

◆概要:  Internet Security Systems社は、限られた量のメモリーで大量のオープンTCP接続の処理を試みると BlackICE Agentがクラッシュしてしまうという問題に対し、防止策を提案した。リモート攻撃者は、特別に細工したTCPパケットを、ファイアウォールで保護されたホ

国際 海外情報
◆概要:
 Internet Security Systems社は、限られた量のメモリーで大量のオープンTCP接続の処理を試みると BlackICE Agentがクラッシュしてしまうという問題に対し、防止策を提案した。リモート攻撃者は、特別に細工したTCPパケットを、ファイアウォールで保護されたホストのポートに送信することにより、エージェントをクラッシュさせることができる。この場合、メモリーの割り当てが開始され、攻撃ターゲットのポートの状態に応じて、200メガバイトから400メガバイトのメモリーが消費される。最終的にはファイアウォールがクラッシュし、10分から15分後に自動的に回復する。


◆情報ソース:
 Vuln Watch (Peter Grundl, pgrundl@kpmg.dk), June 19, 2002

◆キーワード:
 Intrusion detection Network monitoring

◆分析:
 (iDEFENSE 米国) 脆弱なBlackICE Agent に対し、リモート攻撃者による攻撃が発生する可能性がある。また、ファイアウォールがクラッシュすると、それによって保護されていたホストが他のリモート攻撃者によって攻撃される可能性もある。

◆検知方法:
 マイクロソフト社のWindows 2000 オペレーティングシステム上で動作するBlackICE Agent 3.1 eal およびBlackICE Agent 3.1 ebhで、脆弱性が確認されている。

◆暫定処置:
 BlackICE Agentを再設定して、処理可能なTCP接続の最大数を5000に変更する。この設定を変更するには、ローカル "blackice.ini" ファイルを編集するか、ICEcap Management コンソールを使ってこのパラメーターを以下のように変更する。

tcp.maxconnections=5000

 尚、ISSでは、BlackICE Agentの次期バージョンにて、チューニングパラメーターを修正する予定。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:37 GMT、06、20、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×