公開日:2004.03.25 0:11 最終更新日:2004.04.12 14:56

TRCIAC-O-104
ISS 製品に ICQ 解析の脆弱点

概要


ISS Protocol Analysis Module (PAM) コンポーネントのインスタントメッセージングソフトウェア ICQ 向けの解析ルーチンには、バッファ オーバーフローにつながる脆弱性があります。
また、この問題を使って伝播するワーム「Witty」によるインシデントが報告されています。

影響を受けるシステム
 - RealSecure Network 7.0、XPU 22.11 以前
 - RealSecure Server Sensor 7.0、XPU 22.11 以前
 - RealSecure Server Sensor 6.5 for Windows SR 3.10 以前
 - Proventia A シリーズ XPU 22.11 以前
 - Proventia G シリーズ XPU 22.11 以前
 - Proventia M シリーズ XPU 1.9 以前
 - RealSecure Desktop 7.0 ebl 以前
 - RealSecure Desktop 3.6 ecf 以前
 - RealSecure Guard 3.6 ecf 以前
 - RealSecure Sentry 3.6 ecf 以前
 - BlackICE Agent for Server 3.6 ecf 以前
 - BlackICE PC Protection 3.6 ccf 以前
 - BlackICE Server Protection 3.6 ccf 以前

時系列イベント


日時 (JST)内容
2004-03-19 11:17ISSKK ISS 製品における ICQ 解析の脆弱点 を Web 公開
#Last-Modified: Fri, 19 Mar 2004 02:17:15 GMT
2004-03-20 14:00ISC 発信元ポート番号 4000/UDP トラフィックの増加 ("Witty" worm attacks BlackICE firewall) を確認
2004-03-20 (米国日付)トレンドマイクロ WORM_WITTY.A を確認
シマンテック W32.Witty.Worm を確認
日本ネットワークアソシエーツ W32/Witty.worm を確認
2004-03-20 (米国日付)US-CERT Current Activity として Witty Worm を報告
2004-03-20 22:16@police UDP4000番ポートを発信元ポートとするトラフィックの増加について(3/20) を Web 公開
#Last-Modified: Sat, 20 Mar 2004 13:16:28 GMT
2004-03-20 22:40ISS AlertCon ? => ?
2004-03-21 ISSKK BlackICE Wittyワーム を Web 公開
2004-03-21 23:24@police ISS製品の脆弱性及びWittyワームの発生について(3/21) を Web 公開
#Last-Modified: Sun, 21 Mar 2004 14:24:08 GMT
2004-03-23 18:01ISSKK BlackICE Wittyワーム を更新
#Last-Modified: Tue, 23 Mar 2004 09:01:13 GMT
2004-03-24 00:20ISS AlertCon ? => ?

参考情報


  1. CIAC Bulletin O-104
    ICQ Parsing in ISS Products May Lead to Buffer Overflow
  2. Vendor Status Note JVNCIAC-O-104
    ISS 製品に ICQ 解析の脆弱点