Antivirus and Security Software from Sophos

Online-Support

Produktpflege

Kontakt

Support-Services

Hinweis: Sicherheitslücke in Zusammenhang mit TAO/Remote Management System (RMS) in Sophos Anti-Virus behoben

In diesem Artikel wird eine Sicherheitslücke in Zusammenhang mit TAO in der RMS-Komponente von Sophos Anti-Virus beschrieben. Das Problem tritt in aktuellen Produktversionen nicht mehr auf.

Der Schutz betroffener Systeme bleibt unversehrt.

Bislang konnte noch kein Missbrauch der Sicherheitslücke nachgewiesen werden.

TAO-/RMS-Denial-of-Service-Sicherheitslücke

Eine umfangreiche, korrupte GIOP-Nachricht führt zu einem Speicherzuweisungsfehler in TAO (einem ORB von Fremdanbietern in RMS). TAO bearbeitet diesen Fall nicht. Der RMS-Router wird aufgrund der Ausnahme beendet und wartet darauf, dass der Windows-Dienste-Manager den Dienst neu startet.

Wahrscheinlich wird der RMS-Router einfach ohne jegliche Konsequenzen neu gestartet.

Wenn die Meldung mehrmals gesendet wird, wird der RMS-Router des SEC-Severs eventuell mehrmals angehalten, was die Verwaltung der Endpoints erschwert oder gar unmöglich macht (z.B. Auffinden neuer Endpoints, Ändern der Richtlinienkonfiguration).

Wenn sich eine DoS-Attacke gegen einen Endpoint ohne adäquate Diensteverwaltung (z.B. Windows 9x und vereinzelte Nicht-Windows-Systeme) richtet, müssen die Computer oder der Router manuell neu gestartet werden.

Hinweis: Sophos Anti-Virus könnte trotz einer potenziellen auf diese Sicherheitslücke abzielenden DOS-Attacke weiterhin ausgeführt werden und Updates empfangen, weil die Updates über einen anderen Mechanismus erfolgen. Der Schutz betroffener Systeme bleibt unversehrt.

Vorgehensweise

Die Sicherheitslücke wurde in RMS 3.0.9 und höher behoben. EM Library Kunden haben das Update am oder unmittelbar nach dem 22. Oktober 2008 als Bestandteil der folgenden Versionen automatisch erhalten:

  • Sophos Anti-Virus für Windows 2000/XP/2003/Vista 7.6.0
  • Sophos Anti-Virus für Windows 95/98/NT 4.7.16
  • Sophos Anti-Virus für Mac OS X, Version 4.9.17
  • Sophos Anti-Virus für Linux 6.4.4
  1. Überprüfen Sie, ob Sie mit der aktuellen Version von Sophos Anti-Virus arbeiten.
  2. Führen Sie bei Bedarf ein Update durch.

Wenn kein Update auf dem Endpoint möglich ist, können Sie das Problem vorübergehend dadurch beheben, dass Sie den externen Zugang zum RMS-IIOP-Port (standardmäßig 8193) über Ihre Firewall blockieren. IIOP ist für die Kommunikation zwischen SEC und Ihrem Endpoint nicht erforderlich.

Sophos bedankt sich bei der MWR InfoSecurity, die uns auf dieses Problem aufmerksam gemacht hat.

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.

Wenn Sie weitere Informationen oder Unterstützung benötigen, wenden Sie sich bitte an den technischen Support.