ISSがBlackICEクラッシュの防止策を提案 | ScanNetSecurity
2021.09.20(月)

ISSがBlackICEクラッシュの防止策を提案

◆概要:  Internet Security Systems社は、限られた量のメモリーで大量のオープンTCP接続の処理を試みると BlackICE Agentがクラッシュしてしまうという問題に対し、防止策を提案した。リモート攻撃者は、特別に細工したTCPパケットを、ファイアウォールで保護されたホ

国際 海外情報
◆概要:
 Internet Security Systems社は、限られた量のメモリーで大量のオープンTCP接続の処理を試みると BlackICE Agentがクラッシュしてしまうという問題に対し、防止策を提案した。リモート攻撃者は、特別に細工したTCPパケットを、ファイアウォールで保護されたホストのポートに送信することにより、エージェントをクラッシュさせることができる。この場合、メモリーの割り当てが開始され、攻撃ターゲットのポートの状態に応じて、200メガバイトから400メガバイトのメモリーが消費される。最終的にはファイアウォールがクラッシュし、10分から15分後に自動的に回復する。


◆情報ソース:
 Vuln Watch (Peter Grundl, pgrundl@kpmg.dk), June 19, 2002

◆キーワード:
 Intrusion detection Network monitoring

◆分析:
 (iDEFENSE 米国) 脆弱なBlackICE Agent に対し、リモート攻撃者による攻撃が発生する可能性がある。また、ファイアウォールがクラッシュすると、それによって保護されていたホストが他のリモート攻撃者によって攻撃される可能性もある。

◆検知方法:
 マイクロソフト社のWindows 2000 オペレーティングシステム上で動作するBlackICE Agent 3.1 eal およびBlackICE Agent 3.1 ebhで、脆弱性が確認されている。

◆暫定処置:
 BlackICE Agentを再設定して、処理可能なTCP接続の最大数を5000に変更する。この設定を変更するには、ローカル "blackice.ini" ファイルを編集するか、ICEcap Management コンソールを使ってこのパラメーターを以下のように変更する。

tcp.maxconnections=5000

 尚、ISSでは、BlackICE Agentの次期バージョンにて、チューニングパラメーターを修正する予定。


※この情報はアイ・ディフェンス・ジャパン
 ( http://www.idefense.co.jp/ )より提供いただいております。
  アイディフェンス社の iAlert サービスについて
  http://shop.vagabond.co.jp/p-alt01.shtml
  情報の内容は以下の時点におけるものです。
 【14:37 GMT、06、20、2002】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×