|
Historial de revisiones
09/02/2005- Actualización con detalles de la vulnerabilidad y sobre migraciones. Actualizado el número CVE
Riesgo
Alto
Descripción general
Symantec corrigió una vulnerabilidad que puede ser utilizada por equipos remotos, comprometiendo la seguridad de los equipos vulnerables, dicha vulnerabilidad fue reportada por ISS X-Force. La vulnerabilidad fue identificada en las primeras versiones de los productos antivirus de Symantec en el módulo de análisis de archivos comprimidos UPX que todavía está en uso limitado en algunos productos de seguridad Symantec.
El componente en cuestión no puede realizar búsquedas de virus adecuadas al momento de analizar el contenido de ciertos tipos de archivos virus. Si el equipo recibe un archivo malicioso creado con formato UPX podría quedar potencialmente comprometido.
Productos vulnerables (Actualizaciones vulnerables/Actualizaciones de mantenimiento (MR) se indican)
Productos Empresariales
Norton AntiVirus for Microsoft Exchange 2.1 |
anterior a la versión 2.1.8.85 |
Symantec Mail Security for Microsoft Exchange 4,01 |
actualización 461 |
Symantec Mail Security for Microsoft Exchange 4,01 |
actualización 459 |
|
|
Symantec Mail Security for Microsoft Exchange 4,01 |
actualización 458 |
Symantec Mail Security for Microsoft Exchange 4,5 |
actualización 719 |
Symantec AntiVirus/Filtering for Domino NT 3.1 |
anterior a la versión 3.1.1 |
Symantec Mail Security for Domino 4.0 |
anterior a la versión 4.0.1 |
Symantec AntiVirus/Filtering for Domino Ports 3.0 |
|
(AIX) |
anterior a la versión 3.0.6 |
(OS400, Linux, Solaris) |
anterior a la versión 3.0.7 |
Symantec AntiVirus Scan Engine 4.0.X |
todas las versiones |
Symantec AntiVirus Scan Engine 4,3.X |
anterior a la versión 4.3.3 |
Symantec AntiVirus Scan Engine for ISA 4.0.X |
todas las versiones |
Symantec AntiVirus Scan Engine for ISA 4.3.x |
anterior a la versión 4.3.3 |
Symantec AntiVirus Scan Engine for Netapp Filer 4.0.X |
todas las versiones |
Symantec AntiVirus Scan Engine for Netapp Filer 4,3.X |
anterior a la versión 4.3.3 |
Symantec AntiVirus Scan Engine for Netapp NetCache 4.0.X |
todas las versiones |
Symantec AntiVirus Scan Engine for Netapp NetCache 4,3.X |
anterior a la versión 4.3.3 |
Symantec AntiVirus Scan Engine for Bluecoat 4.0.X |
todas las versiones |
Symantec AntiVirus Scan Engine for Bluecoat 4,3.X |
anterior a la versión 4.3.3 |
Symantec AntiVirus Scan Engine for Filers 4.3.X |
anterior a la versión 4.3.3 |
Symantec AntiVirus Scan Engine for Caching 4.3.X |
anterior a la versión 4.3.3 |
|
|
Symantec AntiVirus for SMTP 3.1.X |
anterior a la versión 3.1.7 |
Symantec Mail Security for SMTP 4.0 |
anterior a la versión 4.0.2 |
Symantec Web Security 3.0 .1.X |
anterior a la versión 3.0.1.70 |
Symantec BrightMail AntiSpam 4.0 |
Todo |
Symantec BrightMail AntiSpam 5,5 |
Todo |
|
|
Symantec AntiVirus Corporate Edition 9,0 |
9.0.0.338 |
Symantec AntiVirus Corporate Edition |
actualización 8.1.1.314a |
Symantec AntiVirus Corporate Edition |
actualización 8.1.1.319 |
Symantec AntiVirus Corporate Edition |
actualización 8.1.1.323 |
Symantec AntiVirus Corporate Edition |
actualización 8.1.1.329 |
|
|
Symantec AntiVirus Corporate Edition 8,01 |
actualización 8.01.434 |
Symantec AntiVirus Corporate Edition 8,01 |
actualización 8.01.437 |
Symantec AntiVirus Corporate Edition 8,01 |
actualización 8.01.446 |
Symantec AntiVirus Corporate Edition 8,01 |
actualización 8.01.457 |
Symantec AntiVirus Corporate Edition 8,01 |
actualización 8.01.460 |
Symantec AntiVirus Corporate Edition 8,01 |
actualización 8.01.464 |
Symantec AntiVirus Corporate Edition 8,01 |
actualización 8.01.471 |
|
|
Symantec Client Security 2.0 |
actualización 9.0.0.338 |
Symantec Client Security 1.1.1 |
actualización MR1 8.1.1.314a |
Symantec Client Security 1.1.1 |
actualización MR2 8.1.1.319 |
Symantec Client Security 1.1.1 |
actualización MR3 8.1.1.323 |
Symantec Client Security 1.1.1 |
actualización MR4 8.1.1.329 |
Symantec Client Security 1.1.1 |
actualización MR5 8.1.1.336 |
|
|
Symantec Client Security 1.0.1 |
actualización MR3 8.01.434 |
Symantec Client Security 1.0.1 |
actualización 8.01.437 |
Symantec Client Security 1.0.1 |
actualización MR4 8.01.446 |
Symantec Client Security 1.0.1 |
actualización MR5 8.01.457 |
Symantec Client Security 1.0.1 |
actualización MR6 8.01.460 |
Symantec Client Security 1.0.1 |
actualización MR7 8.01.464 |
Symantec Client Security 1.0.1 |
actualización MR8 8.01.471 |
Symantec Gateway Security 2.0, 2.0.1 - 5400 Series |
|
Symantec Gateway Security 1.0 - 5300 Series |
|
Productos para consumidor
Symantec Norton Antivirus 2004 para Windows
Symantec Norton Internet Security 2004 (pro) para Windows
Symantec Norton System Works 2004 para Windows
Symantec Norton Antivirus 8,0 for Macintosh
Symantec Norton Internet Security 2,0 for Macintosh
Symantec Norton System Works 7,0 for Macintosh
Symantec Norton Antivirus 2004 for Macintosh
Symantec Norton Internet Security 2004 for Macintosh
Symantec Norton System Works 2004 for Macintosh
Symantec Norton Antivirus 9,0 for Macintosh
Symantec Norton Internet Security for Macintosh 3.0
Symantec Norton System Works for Macintosh 3.0
Productos no vulnerables (actualizaciones no vulnerables/Actualizaciones de mantenimiento (MR) se indican)
Productos Empresariales
Norton AntiVirus for Microsoft Exchange 2,18 |
2.18.82 y anteriores |
Norton AntiVirus for Microsoft Exchange 2,18 |
2.18.85 y anteriores |
Symantec Mail Security for Microsoft Exchange 4.0 |
Actualización 456 y anteriores |
Symantec Mail Security for Microsoft Exchange 4.0 |
Actualización 463 |
Symantec Mail Security for Microsoft Exchange 4.0 |
Actualización 465 |
Symantec Mail Security for Microsoft Exchange 4.5 |
Actualización 736 |
Symantec Mail Security for Microsoft Exchange 4.5 |
Actualización 741 |
Symantec Mail Security for Microsoft Exchange 4.5 |
Actualización 743 |
|
|
Symantec Mail Security for Microsoft Exchange 4.6 |
|
Symantec AntiSpam for SMTP 3.1 |
|
Symantec AntiVirus/Filtering for Domino NT 3.1 |
3.1.1 |
Symantec Mail Security for Domino 4.0 |
4.0.1 |
Symantec Mail Security for Domino 4.1 |
All |
Symantec AntiVirus/Filtering for Domino Ports 3.0 |
|
(AIX) |
3.0.6 |
(OS400, Linux, Solaris) |
3.0.7 |
Symantec AntiVirus Scan Engine 4.3 |
4.3.3 |
Symantec AntiVirus Scan Engine for ISA 4.3.X |
4.3.3 |
Symantec AntiVirus Scan Engine for Netapp Filer 4.3.X |
4.3.3 |
Symantec AntiVirus Scan Engine for Netapp NetCache 4.3.X |
4.3.3 |
Symantec AntiVirus for Caching |
4.3.3 |
Symantec AntiVirus Scan Engine for Microsoft Portal Server 4.3.X |
|
Symantec AntiVirus Scan Engine for Bluecoat 4.3.X |
4.3.3 |
Symantec AntiVirus Scan Engine for Filers 4.3.X |
4.3.3 |
Symantec AntiVirus for Microsoft Office |
|
SharePoint Portal Server 2003 |
Todos |
Symantec AntiVirus for SMTP 3.1 |
3.1.7 |
Symantec Mail Security for SMTP 4.0 |
4.0.2 |
Symantec Mail Security for SMTP 4.1 |
|
Symantec Web Security 3.0 |
3.0.1.70 |
Symantec BrightMail AntiSpam 6.0 All |
|
Symantec BrightMail AntiSpam 4.0 (Disable DEC2EXE per mitigation instructions) |
Symantec BrightMail AntiSpam 5.5 (Disable DEC2EXE per mitigation instructions) |
|
|
Symantec AntiVirus Corporate Edition 9.0 |
Actualización 9.0.1.1.1000 |
Symantec AntiVirus Corporate Edition 8.1.1 |
Actualización 9.1.0.825a |
Symantec AntiVirus Corporate Edition 8.1.1 |
Actualización 8.1.1.366 |
Symantec AntiVirus Corporate Edition 8.0 |
Actualización 8.01.9374 |
Symantec AntiVirus Corporate Edition 8.0 |
Actualización 8.01.9378 |
Symantec AntiVirus Corporate Edition 8.0 |
Actualización 8.01.425a/b |
Symantec AntiVirus Corporate Edition 8.0 |
Actualización 8.01.429c |
Symantec AntiVirus Corporate Edition 8.0 |
Actualización 8.01.501 |
|
|
Symantec Client Security 2.0.1 |
Actualización MR1 9.0.1.1.1000 |
Symantec Client Security 2.0.2 |
Actualización MR2 9.0.1.2.1000 |
Symantec Client Security 2.0.3 |
Actualización MR3 9.0.1.3.1000 |
|
|
Symantec Client Security 1.1 |
Initial STM Release Actualización 8.1.0.825a |
Symantec Client Security 1.1.1 |
Actualización MR6 8.1.1.366 |
Symantec Client Security 1.0 |
Actualización 8.01.9374 |
Symantec Client Security 1.0.0 |
Actualización 8.01.9378 |
Symantec Client Security 1.0.1 |
Actualización MR1 8.01.425a/b |
Symantec Client Security 1.0.1 |
Actualización MR2 8.01.429c |
Symantec Client Security 1.0.1 |
Actualización MR9 8.01.501 |
|
|
Symantec Norton AntiVirus 7.6 (no instala el modulo vulnerable) |
Symantec Mail-Gear |
|
Symantec I-Gear |
|
Symantec AntiVirus for HandHelds - Corporate Edition(no require instalar el módulo DEC2EXE) |
Symantec Client Security for Nokia Communicator (no require instalar el módulo DEC2EXE) |
Productos para consumidor
Symantec Norton Antivirus 2003
Symantec Norton Internet Security 2003 (pro)
Symantec Norton System Works 2003
Symantec Norton Antivirus 2005
Symantec Norton Internet Security 2005
Symantec Norton System Works 2005 (Premier)
Symantec AntiVirus for HandHelds (no requiere instalar el módulo DEC2EXE)
Detalles
ISS X-Force notificó a Symantec de una vulnerabilidad descubierta en el módulo DEC2EXE parsing engine utilizado en versiones anteriores del motor de búsquedas de virus. La vulnerabilidad del motor DEC2EXE contiene un desbordado de almacenamiento que puede iniciarse al enviar un archivo UPX que podría ser manipulado por el motor vulnerable DEC2EXE. En caso de explotarse la vulnerabilidad, el atacante que envío el archivo, podría ejecutar de forma remota cualquier código de manera arbitraria y comprometer el sistema afectado.
Respuesta de Symantec
Symantec confirmó la vulnerabilidad ISS identificada en el motor original DEC2EXE. El motor DEC2EXE ya no se utiliza en el análisis de archivos comprimidos. Antes de que ISS entrara en contacto con Symantec referente a esta vulnerabilidad, Symantec ya había eliminado el motor DEC2EXE del motor de análisis en sus actualizaciones de producto, implementadas en la mayoría de los productos Symantec.
Symantec NO ha encontrado de alguna tentativa negativa o impacto a nuestros clientes referente a este problema. Sin embargo, Symantec Security Response creó Bloodhound.Exploit.26, que es una procedimiento de detección en caso de que se quiera explorar la vulnerabilidad de desbordamiento DEC2EXE.dll heap. la versión de las definiciones de virus 70209af (versión extendida 2/9/2004 rev. 32) o posteriores contienen esta heurística y están disponibles por medio de LiveUpdate o por Intelligent Updater.
Actualizaciones recomendadas
Como parte de las mejores prácticas, los usuarios deberían aplicar y mantener actualizados, con los parches proporcionados por sus proveedores, a todas sus aplicaciones y sistemas operativos. Symantec recomienda insistentemente, actualizar sus productos con la versión inmediata para protegerse de este tipo de amenazas.
Los ingenieros de Symantec ya desarrollaron y liberaron las actualizaciones o Actualizaciones de mantenimiento para todas las versiones de producto afectadas y que no fueron actualizadas durante el último periodo de actualizaciones. Las actualizaciones de mantenimiento están disponibles por medio de LiveUpdate para los productos que cuentan con esta función y a través del sitio Web de Soporte de Symantec en http://www.symantec.com/techsupp.
Actualizaciones para Symantec Gateway Security series 5300
y Symantec Gateway Security series5400:
Los parches para corregir esta vulnerabilidad en los appliance Symantec Gateway Security series 5300 y series 5400, ya fueron probados y están disponibles. El parche elimina el motor DEC2EXE en los productos afectados y actualiza el motor de búsqueda a la nueva versión. Symantec recomienda insistentemente, actualizar sus productos con la versión inmediata para protegerse de este tipo de amenazas.
Los parches específicos para cada producto, están disponibles en el Sitio de Soporte empresarial de Symantec http://www.symantec.com/techsupp.
Symantec no está enterado de alguna tentativa negativa o impacto a nuestros clientes referente a este problema.
Soluciones provicionales
Symantec recomienda encarecidamente a los usuarios, actualizar sus productos con las últimas actualizaciones de mantenimiento para mantener sus equipos protegidos. Sin embargo algunos usuarios, puede que no tengan la oportunidad de instalar de forma inmediata la última actualización de mantenimiento de Symantec AntiVirus Corporate Edition.
Symantec AntiVirus Corporate Edition
Symantec Client Security
Como una solución provisional, el motor DEC2EXE, pede ser desactivado de manera segura y no afectará la funcionalidad del producto. El análisis que realiza el motor DEC2EXE, fue creado como un análisis redundante por el motor de definiciones AV. La desactivación se puede hacer al modificar el archivo Dec3.cfg y reiniciar el servicio de Symantec AntiVirus. Si desea detalles sobre como modificar el archivo Dec3.cfg por favor visite:
http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2005020911112648
Excepciones
Symantec AntiVirus Corporate Edition 9.0 y Symantec Client Security 2.0
La actualización de mantenimiento 1 (MR1) (no disponible en todas las regiones) o la actualización de mantenimiento 2 (MR2), ambas desactivan el motor DEC2EXE y no son vulnerables de ser afectados, dado que el motor DEC2EXE no es utilizado en el análisis de archivos UPX. La última actualización de mantenimiento (MR3) elimina el motor DEC2EXE, lo cual es lo más recomendado por Symantec. Sin embargo, es posible que algunos usuarios no puedan instalar esta actualización de forma inmediata.
Si los usuarios cuentan con la última actualización de mantenimiento en la que el motor DEC2EXE es desactivado, no son susceptibles a verse afectados, sin embargo deberá actualizarse con MR3 lo más pronto posible.
Las siguientes versiones de programaindican que versión de actualización de mantenimiento tiene usted instalada.
9.0.1.1000 ->MR1 (no disponible en todas las regiones)
9.0.2.1000 ->MR2
Symantec BrightMail AntiSpam versiones 4.0 y 5.5
El módulo DEC2EXE puede ser desactivado de forma segura y fácil, por medio del archivo brightmail.cfg, tanto en plataformas Solares, como en Windows.
Para Solares y Linux:1.
- Busque el archivo brightmail.cfg .
La ubicación predefinida de este archivo es /opt/mailwall2.
- Edite el archivo brightmail.cfg de la siguiente forma:
En la sección titulada "Symantec 3 decomposer", elimine la siguiente línea:
blsymdec3Engine: libdec2exe.so|53.
- Reinicie BrightMail para volver a cargar el archive de configuración
" hup bmserver".
Para Windows:
- Cierre cualquier ventana abierta de la Consola de Administración de Brightmail.2.
- Busque el archivo brightmail.cfg .
La ubicación predefinida para este archivo es c:\program files\brightmail\config3.
- Edite el archivo brightmail.cfg de la siguiente forma:
En la sección titulada "Symantec 3 decomposer", elimine la siguiente línea:
blsymdec3Engine: libdec2exe.dll|54.
- Reinicie los servicios Brightmail AntiVirus Cleaner y Brightmail Server.
CVE
Common Vulnerabilities and Exposures (CVE, Exposiciones y vulnerabilidades comunes) por propia iniciativa, aún no asigna un candidato CVE CAN-2005-0249 a este caso reportado por ISS X-Force. Este es un candidato para incluirse en la lista de CVE (http://cve.mitre.org), en donde se estandarizan los nombres para los problemas de seguridad. Esta sección será modificada en cuanto el candidato CVE sea asignado.
Créditos
Symantec agradece al equipo de investigación de X-Force y a Alex Wheeler en particular, por haber identificado este problema, además de su cooperación y coordinación con Symantec para la solución de todos los problemas.
Symantec toma en cuenta la seguridad y buen funcionamiento de sus productos de manera formal y seria. Como miembro fundador de Organization for Internet Safety (OISafety), Symantec sigue el proceso de acceso responsable. Symantec también está suscrito a los lineamientos de seguridad manifestados por la Infrastructure Advisory Council (NIAC). Póngase en contacto en secure@symantec.com, si cree haber descubierto un problema de seguridad actual o de peligrosidad potencial en un producto Symantec. Un miembro del equipo se pondrá en contacto con usted para atender su mensaje.
Symantec desarrollo el proceso Manejo de la vulnerabilidad de producto, en el cual se destaca el proceso a seguir para detectar vulnerabilidades en nuestros productos. Apoyamos la notificación responsable de toda la información sobre las vulnerabilidades en forma y tiempo para proteger a nuestros usuarios y su seguridad en Internet. Este documento está disponible en la siguiente dirección que se muestra abajo.
Symantec recomienda insistentemente el uso de correos electrónicos encriptados al momento de brindar información referente a una vulnerabilidad a secure@symantec.com. La clave Symantec Product Security PGP, puede obtenerse en la ubicación que a continuación se proporociona.
Copyright (c) 2005 by Symantec Corp.
Se permite la distribución de esta alerta electrónica, siempre y cuando no sea modificado, cualquier modificación deberá ser autorizada por Symantec Security Response. La reproducción parcial o completa de esta alerta en cualquier otro medio electrónico, requiere de la autorización de secure@symantec.com.
Exención de responsabilidades
La información de este aviso de seguridad se consideró adecuada al momento de su publicación, con base a la información disponible del momento. El uso de esta información constituye la aceptación de la condición IGUAL QUE (AS IS). No hay garantías referentes a esta información. Ni el autor ni el editor aceptan alguna responsabilidad sobre el daño o pérdida de información de forma directa o indirecta como consecuencia del uso de esta información.
Symantec, los productos Symantec, Symantec Security Response, y SymSecurity son marcas registradas de Symantec Corp. y/o companies afiliadas en Estados Unidos y otros países. Las demás marcas mencionadas en este documento son marcas registradas de sus respectivos propietarios y reconocidas como tales.
Actualizado por última vez el: Jueves 10 de febrero del 2005 a las 23:25hrs.
|
Symantec Vulnerability Response Policy
Symantec Product Vulnerability Response PGP Key