Salve a tutti, utilizzo da svariato tempo il firewall ZA Pro anche sul muletto collegato alla linea ADSL, e finora con ottimi risultati. :)

Per la prima volta mi sono accorto che c'era qualcosa che non andava...infatti ho notato che tra le connessioni "trusted" c'era una VPN che io non avevo assolutamente impostato :mad:.Me ne sono accorto in ritardo, in quanto spesso il pc rimane lì a scaricare...:muro:


Ovviamente l'ho subito bloccata, e controllando l'ip ho notato che riconduceva ad una società telefonica americana, quindi probabilmente un utente di quella compagnia (o forse anche no).

Comunque, quel che mi secca è che il FW è stato in qualche modo "bucato", se non ha impedito ad un client remoto di connettersi e fare ciò che voleva.

Non ricordo la versione precisa di ZA, di certo non l'ho aggiornato all'ultima versione, cmq dovrebbe essere di qualche mese fa.Il programma stesso non è protetto da pwd.

Provvederò ad aggiornare al più presto il fw, ma nel frattempo mi chiedo come sia stato possibile ciò (ritengo che sia ben configurato).Avete qualche idea?

Potrebbe essere un bug di quella precisa versione?(controllerò anch'io quanto prima...)

Grazie


Qnick

Nessuno ha qualche idea?La versione di ZA in questione era la 4.0.123, magari un po' vecchiotta, qui a casa ho la 4.5...

Forse ho trovato: come segnalato da eEye qui (http://www.eeye.com/html/Research/Advisories/AD20040219.html), esiste un bug abbastanza fastidioso che affligge le versioni di ZA dalla versione 4.0 alla 4.5.538.


Zone Labs SMTP Processing Buffer Overflow

Description:

Zone Labs provides a suite of desktop firewall products. Products in this suite such as ZoneAlarm analyze incoming and outgoing email messages for malicious or otherwise abnormal content. When ZoneAlarm examines outgoing email messages, a buffer overflow condition is presented when it retrieves the destination email address from the message. An attacker can exploit this vulnerability to elevate his privileges to SYSTEM on any machine protected by a vulnerable Zone Labs product. This vulnerability can also be exploited remotely if an attacker can manipulate the protected system into sending an outgoing email message.

Technical Description:
A stack based buffer overflow vulnerability within vsmon.exe can be exploited to execute code with the context of the SYSTEM account. The vulnerability exists within the component responsible for processing the RCPT TO command argument. By specifying a large argument to the RCPT TO command, an internal stack based buffer can be overflowed within the TrueVector Internet Monitor (vsmon.exe) process.



Tra l'altro è segnalato anche nel bollettino di sicurezza di Zonelabs stessa, la quale consiglia di passare all'ultima versione, la 4.5.594.000

Qui sotto trovate la descrizione dettagliata del problema:
http://download.zonelabs.com/bin/free/securityAlert/8.html


Suppongo che possa essere in tal modo che qualche furbastro si è introdotto nella macchina :rolleyes: :muro: