Перейти к содержанию
Ashot

Symantec DLP Buffer Overflow in Autonomy KeyView Module

Recommended Posts

Ashot

http://www.securitytracker.com/alerts/2009/Aug/1022772.html

A remote user can create a Microsoft Excel file with a specially crafted Shared String Table (SST) record that, when processed by the target application, will trigger a buffer overflow in the Autonomy KeyView module and execute arbitrary code on the target system. The code will run with the privileges of the target application.

The vulnerability resides in the third-party Autonomy KeyView module.

Symantec Data Loss Prevention Enforce/Detection Servers, Symantec Data Loss Prevention Enforce/Detection Servers for Windows, Symantec Data Loss Prevention Enforce/Detection Servers for Linux, and Symantec Data Loss Prevention Endpoint Agents are affected.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Krasnov

Ашот, а почему Вы не привели остальную часть новости? :rolleyes:B)

Ключевое в этой новости выделил жирным шрифтом.

Фиксы выпущены.

The vendor was notified on May 5, 2009.

Joshua J. Drake of iDefense Labs reported this vulnerability.

Impact: A remote user can create a file that, when processed by the target application, will execute arbitrary code on the target system.

Solution: The vendor has issued hotfixes. A patch matrix is available in the vendor's advisory.

Ссылка на сайт Symantec

Details

iDefense Labs notified Symantec of a buffer overflow vulnerability reported against the Autonomy KeyView module shipped and installed with identified Symantec products. The overflow can occur during the processing of incoming specifically formatted Microsoft Excel spreadsheet documents.

Symantec Response

Symantec product engineers have implemented updates for this issue in all affected product versions. In many of the affected Symantec products, the Autonomy KeyView module processes have been separated from the Symantec application processes (handled out-of-process) with limited privileges on the system. This out-of-process method specifically addresses these types of security concerns. Any attempt to exploit the Autonomy KeyView module results in process termination of the offending thread and an error message generated to and handled by the specific application.

Symantec knows of no exploitation of or adverse customer impact from these issues.

Update Information

Updates will be available from your normal support/download locations.

SMS for Domino and Microsoft Exchange updates are available through the Platinum Support Web Site for Platinum customers or through the FileConnect -Electronic Software Distribution web site.

Symantec DLP updates are available for download through secure file exchange.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ashot
Ашот, а почему Вы не привели остальную часть новости?

мне это не интересно было...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Sergey Krasnov
мне это не интересно было...

Понятно, т.е. Вам было интересно сообщить всем про Buffer Overflow без указания решения проблемы... :(

Печально, вопросов больше не имею.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
мне это не интересно было...

Прискорбно...

Кстати, данная уязвимость затрагивает не только продукт Symantec DLP и не только продукты Symantec, так как библиотеки Autonomy использует многие "контетные" вендоры

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Bulit

Коллеги а есть ли подобные баги освещенные Bug-Трекерами у других DLP систем ?

IMHO это только в плюс Symantec DLP Найден Bub - выпущена заплатка, можно сделать вывод система эксплуатируется и поддерживается на должном уровне.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Кстати, данная уязвимость затрагивает не только продукт Symantec DLP и не только продукты Symantec, так как библиотеки Autonomy использует многие "контетные" вендоры

А другие то пофиксили уже у себя багу? Насколько я знаю, Autonomy использует еще Websense.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • кустомер
      Всем здравствуйте. СРАЗУ оговорка:
      Кнопка "Создать новую тему" только на главной странице форума.
      В выпадающем её меню НЕактивны абсолютно все разделы кроме этого.
      Тему разместить хотелось-бы в другом разделе.
      Ответ на тот вопрос ― наверное поэтому.
      Собственно по делу -
      У кого из считающих себя "мастером_своего_дела" могло-бы появиться желание
      подумать и высказать своё предположение метода проникновения файла сценария
      с печеньями (cookies) после того, как весь IP-диапазон адреса хранения файла
      был заблокирован в настройках Outpost, отлично справляющегося по сей день
      с блокировкой ЛЮБЫХ других (кроме этого) IP-диапазонов? Адрес(имя) файла:
      https://mc.yandex.ru/metrika/watch.js Outpost навскидку можно сравнить с другими продуктами защиты - там.

      Вопросы типа "а-зачем-вам-это-надо" будут
      расценены как флуд, отвлекающий от темы. (уважаэмым модераторам)
      Тема относится к способу проникновения этой заразы, а не к конкретному продукту защиты.
    • demkd
      на него уже давно не реагируют они сейчас самый опасный report_crash что дампы отправляет  
    • akoK
    • santy
      из архива uVS на зеркале уберите файл _autorun.zip (если он есть там), антивирусники как правило по этому файлу начинают "сходить с ума". для создания образа автозапуска юзерам он не нужен.
    • demkd
      Там 5 недоантивирусов, я на такое внимание не обращаю, тем более что случается уже не в первый раз.
      И какое зеркало?
×