W agencie Heimdal Thor dla systemów Windows (wersje 3.4.2 i wcześniejsze) oraz macOS (wersje 2.6.9 i wcześniejsze) zgłoszono podatność mogącą skutkować odmową usługi (DoS) w module Threat To Process Correlation. Warto jednak odnotować, że sam producent (Heimdal) kwestionuje zasadność tej klasyfikacji.
▸ Pokaż oryginał (EN)
An issue was discovered in Heimdal Thor agent versions 3.4.2 and before on Windows and 2.6.9 and before on macOS, allows attackers to cause a denial of service (DoS) via the Threat To Process Correlation threat prevention module. NOTE: Heimdal asserts this is not a valid vulnerability. Their DNS Security for Endpoint solution includes an optional feature to provide extra information on the originating process that made a DNS request. The lack of process identification in DNS logs is therefore falsely categorized as a DoS issue.
Według zgłoszenia podatność dotyczy modułu Threat To Process Correlation wchodzącego w skład funkcji DNS Security for Endpoint. Atakujący miałby możliwość wywołania stanu DoS poprzez interakcję z tym modułem. Heimdal twierdzi natomiast, że opisywane zachowanie to jedynie brak identyfikacji procesu w logach DNS — opcjonalna funkcja informacyjna — a nie rzeczywista luka bezpieczeństwa. Producent stanowczo zaprzecza, jakoby brak rejestrowania procesu źródłowego żądania DNS stanowił podatność klasy DoS.
Zgodnie z opisem zgłoszenia atakujący mógłby spowodować odmowę usługi (DoS) w chronionym systemie. Producent podważa jednak tę klasyfikację, wskazując, że faktyczny wpływ na dostępność systemu jest minimalny lub żaden.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na spór co do zasadności podatności zaleca się kontakt z Heimdal Security w celu uzyskania oficjalnego stanowiska i ewentualnej aktualizacji agenta do najnowszej dostępnej wersji.
Heimdal Thor agent w wersjach 3.4.2 i wcześniejszych na systemie Microsoft Windows oraz w wersjach 2.6.9 i wcześniejszych na systemie Apple macOS.
Producent Heimdal Security oficjalnie zakwestionował tę podatność, stwierdzając, że brak identyfikacji procesu w logach DNS jest opcjonalną funkcją informacyjną, a nie luką klasy DoS. Podatność została pierwotnie opisana w artykule badacza dostępnym pod wskazanym adresem medium.com.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:HApple macOS
OSApplewszystkie wersjeHeimdalsecurity Thor
APPHeimdalsecurity≤ 3.5.3≤ 2.6.9Microsoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Apple — memory corruption (RCE) w przetwarzaniu strumieni audio