Se ha detectado diversas vulnerabilidades en productos Client Firewall
de la compañía Symantec que podrían ser aprovechadas por usuarios
maliciosos para provocar una denegación de servicio o incluso
comprometer el sistema afectado con privilegios a nivel de kernel.

Las vulnerabilidades, descubiertas por eEye Digital Security, están
contenidas en el componente SYMDNS.SYS y son las siguientes:

* Hay un desbordamiento de stack en el procesamiento de respuestas DNS
causado por la falta de comprobación de tamaños para tratar entradas
externas. La explotación con éxito de este problema puede resultar en la
ejecución remota de código con privilegios a nivel de kernel.

* También se ha detectado un desbordamiento de stack en el procesamiento
de respuestas NBNS (NetBIOS Name Service) que pueden resultar en la
sobreescritura de zonas de memoria, que, en determinadas circunstancias,
puede aprovecharse para ejecutar código arbitrario a nivel de
privilegios de kernel.

* Se ha detectado también un problema potencial de corrupción del heap
por la misma razón, que de igual forma podría aprovecharse para ejecutar
código en el sistema vulnerable con los mismos derechos antes descritos.

* Se ha observado que podrían provocarse ataques de denegación de
servicio debido a un tratamiento incorrecto de los paquetes de respuesta
de DNS. Unos paquetes de este tipo especialmente configurados a tal
efecto, pueden provocar un cuelgue del sistema que requeriría un reinicio
para recobrar el acceso al sistema y su correcta funcionalidad.

Los productos afectados son los siguientes:
Symantec Norton Internet Security y Professional 2002, 2003, 2004
Symantec Norton Personal Firewall 2002, 2003, 2004
Symantec Norton AntiSpam 2004
Symantec Client Firewall 5.01, 5.1.1
Symantec Client Security 1.0, 1.1, 2.0 (SCF 7.1)

Se recomienda actualizar dichos productos vía LiveUpdate a la mayor
brevedad posible.

Julio Canto
jcanto@hispasec.com

Más información:

Symantec Multiple Firewall NBNS Response Processing Stack Overflow
http://www.eeye.com/html/Research/Advisories/AD20040512A.html

Symantec Multiple Firewall DNS Response Denial-of-Service
http://www.eeye.com/html/Research/Advisories/AD20040512B.html

Symantec Multiple Firewall NBNS Response Remote Heap Corruption
http://www.eeye.com/html/Research/Advisories/AD20040512C.html

Symantec Multiple Firewall Remote DNS KERNEL Overflow
http://www.eeye.com/html/Research/Advisories/AD20040512D.html

Symantec Client Firewall Remote Access and Denial of Service Issues
http://securityresponse.symantec.com/avcenter/security/Content/2004.05.12.html

Compártelo: