SNS Advisory No.29
Trend Micro Virus Control System（VCS）Unauthenticated CGI Usage Vulnerability

Problem first discovered: 25 May 2001
Published: 7 Jun 2001
Last Updated: 4 Jul 2001

概要：
Trend Micro社製 Virus Control System（VCS）で提供されているCGIプログラムにセキュリティ上の問題を発見しTrend Micro社に報告しました。管理用にインストールされるプログラムやデータが認証無しにリモートからアクセスされてしまう可能性があります。

問題：
VCSはゲートウェイ、ファイルサーバ、グループウェア、クライアントなどに存在するウイルス対策製品を統括的に運用および管理を行うためのソフトウェアパッケージです。

VCSを管理するためには、通常、以下のようにアクセスします。
http://VCSServer/tvcs/EnterPassword.html

このときにパスワードの入力が求められますが、特定のCGIプログラムの呼び出し方によっては、パスワードによる認証を行わずに、設定を変更したり設定ファイルを覗き見ることが可能になります。対策がまだ行われていないことと、すぐには対策がリリースされる見込みが無いことから、詳細については公表いたしません。

問題を確認したバージョン：
Virus Control System（VCS） Ver.1.8 Japanese
Virus Control System（VCS） Ver.1.8 English

問題を確認したOS：
Windows 2000 Server Japanese
Windows 2000 Server English

対策情報：
Trend Micro社に問題を報告し、対策が今年の終わり頃であると回答を得ました。

VCSがインストールされているサーバには、管理者のみアクセスできるようにIPアドレスなどによってアクセス制限を行うことを推奨します。

また、本障害に対する対策に関しては下記URLを参照してください。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=2786

発見者：
三輪 信雄（LAC） n-miwa@lac.co.jp

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/29.html