◆概要: Internet Security Systems社は、限られた量のメモリーで大量のオープンTCP接続の処理を試みると BlackICE Agentがクラッシュしてしまうという問題に対し、防止策を提案した。リモート攻撃者は、特別に細工したTCPパケットを、ファイアウォールで保護されたホストのポートに送信することにより、エージェントをクラッシュさせることができる。この場合、メモリーの割り当てが開始され、攻撃ターゲットのポートの状態に応じて、200メガバイトから400メガバイトのメモリーが消費される。最終的にはファイアウォールがクラッシュし、10分から15分後に自動的に回復する。◆情報ソース: Vuln Watch (Peter Grundl, pgrundl@kpmg.dk), June 19, 2002◆キーワード: Intrusion detection Network monitoring◆分析: (iDEFENSE 米国) 脆弱なBlackICE Agent に対し、リモート攻撃者による攻撃が発生する可能性がある。また、ファイアウォールがクラッシュすると、それによって保護されていたホストが他のリモート攻撃者によって攻撃される可能性もある。◆検知方法: マイクロソフト社のWindows 2000 オペレーティングシステム上で動作するBlackICE Agent 3.1 eal およびBlackICE Agent 3.1 ebhで、脆弱性が確認されている。◆暫定処置: BlackICE Agentを再設定して、処理可能なTCP接続の最大数を5000に変更する。この設定を変更するには、ローカル "blackice.ini" ファイルを編集するか、ICEcap Management コンソールを使ってこのパラメーターを以下のように変更する。tcp.maxconnections=5000 尚、ISSでは、BlackICE Agentの次期バージョンにて、チューニングパラメーターを修正する予定。※この情報はアイ・ディフェンス・ジャパン ( http://www.idefense.co.jp/ )より提供いただいております。 アイディフェンス社の iAlert サービスについて http://shop.vagabond.co.jp/p-alt01.shtml 情報の内容は以下の時点におけるものです。 【14:37 GMT、06、20、2002】
