漏洞信息详情
WatchGuard ServerLock未授权内核模块装载漏洞
- CNNVD编号:CNNVD-200308-188
- 危害等级: 中危
- CVE编号: CVE-2003-0641
- 漏洞类型: 设计错误
- 发布时间: 2003-07-17
- 威胁类型: 本地
- 更新时间: 2005-10-20
- 厂 商: watchguard
- 漏洞来源: Jan K. Rutkowski※ ...
漏洞简介
WatchGuard ServerLock是一款用于保护操作系统完整性的工具,可使任何人不能修改部分文件,部分注册表键值和装载未明驱动。 WatchGuard ServerLock存在DLL注入问题,本地攻击者可以利用这个漏洞通过ZwSetSystemInformation()函数装载任意模块到Windows 2000内核,可绕过安全限制。 WatchGuard ServerLock对\"HKLM\System\CurrentControlSet\Services\"键值,和替代\"\Winnt\System32\drivers\"目录中的文件,及调用ZwSetSystemInformation()都做了限制。不过ServerLock允许可信任程序调用ZwSetSystemInformation()函数。攻击者可以把恶意程序存放在\"\WINNT\system32\drivers\\"目录中,通过DLL注入手段,迫使可信进程执行ZwSetSystemInformation()函数,把恶意程序装载到内核中。
漏洞公告
厂商补丁: WatchGuard ---------- ServerLock 2.0.3及之后的版本不存在此漏洞,可访问WatchGuard LiveSecurity website获得相关信息:
https://www.watchguard.com/archive/softwarecenter.asp
参考网址
来源: BID 名称: 8222 链接:http://www.securityfocus.com/bid/8222 来源: BUGTRAQ 名称: 20030717 Bypassing ServerLock protection on Windows 2000 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105848106631132&w=2 来源: XF 名称: serverlock-openprocess-load-module(12665) 链接:http://xforce.iss.net/xforce/xfdb/12665 来源: OSVDB 名称: 6578 链接:http://www.osvdb.org/6578 来源: SECUNIA 名称: 9310 链接:http://secunia.com/advisories/9310
受影响实体
- Watchguard Serverlock:2.0.2
- Watchguard Serverlock:2.0.1
- Watchguard Serverlock:2.0
补丁
暂无
评论