[SECURITY-L] Falha em firewalls da Symantec permite ataques DoS

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Qui Out 17 15:33:18 -03 2002 

----- Forwarded message from Caio Souza Mendes <caio_sm em yahoo.com.br> -----

From: Caio Souza Mendes <caio_sm em yahoo.com.br>
Subject: Falha em firewalls da Symantec permite ataques DoS 
To: daniela em ccuec.unicamp.br
Date: Wed, 16 Oct 2002 17:12:23 -0300 (ART)

Falha em firewalls da Symantec permite ataques DoS 

Quarta-feira, 16 de Outubro de 2002 - 16h12 

IDG Now!

Segundo um alerta divulgado na terça-feira (15/10), pela Advanced IT Security, prestadora de serviços de segurança dinamarquesa, uma falha descoberta em um componente comum da tecnologia de firewall da Symantec pode expor os produtos da companhia a ataques do tipo Denial of Service (DoS). 
A falha apareceu no proxy de Web do Enterprise Firewall, também conhecido como Simple Secure Webserver 1.1, da Symantec. Segundo o alerta, as tentativas de um invasor sobre registros de domínios na Internet que não estão disponíveis provoca uma pausa de até cinco minutos no servidor de Web da Symantec, na espera por uma resposta. 
Durante este período, todo o firewall cessa as respostas para outras solicitações legítimas , afetando não apenas o tráfego na Web para o Domínio que deve passar pelo firewall, como também outros tipos de tráfego na Internet, explica Tommy Mikalsen, Chief Technology Officer (CTO) da Advanced IT. 
Na segunda-feira (14/10), a Symantec divulgou, em seu site (www.symantec.com) uma correção para os produtos afetados pelo problema, aconselhando os clientes a manterem seus sistema operacionais e produtos atualizados. 
Embora a Symantec afirme que a falha está restrita a URLs com domínios protegidos pelo firewall da empresa, a Advanced IT informa que a falha no produto aplica-se a qualquer domínio. 
Tirando vantagem do problema, invasores poderiam desabilitar os serviços de Domain Name Server (DNS) convertendo-os para um domínio sob seu controle e, então, direcionar uma série de solicitações ao firewall usando aquele o domínio novo. 
Em seu alerta de segurança, a Symantec informa que os seguintes produtos estão vulneráveis: Raptor Firewall para Windows NT e Solaris; Symantec Enterprise Firewall para Windows 2000, Windows NT e Solaris; VelociRaptor 500, 700, 1000, 1100, 1200 e 1300 e o Symantec Gateway Security 5110, 5200 e 5300. 
 
 
Fonte: IDG Now - http://idgnow.terra.com.br/idgnow/internet/2002/10/0038


----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L