SNS Advisory No.35
TrendMicro InterScan VirusWall 3.51 HttpSaveC*P.dll buffer overflow Vulnerability

Problem first discovered: 1Jun 2001
Published: 28 Jun 2001

概要：
Trend Micro社製 InterScan VirusWall for Windows NTで提供されている管理者用設定プログラム（HttpSaveCVP/CSP.dll）にバッファオーバフロー問題を発見しました。リモートからSYSTEM権限で悪意のプログラムを実行されてしまう可能性があります。

問題：
既に発行されているSNS Advisory No.28（Trend Micro InterScan VirusWall for NT remote configuration Vulnerability）を悪用し、特定の設定項目に対して長い文字列を設定された後に、下記のdllがブラウズされた場合にバッファオーバーフローが発生します。

http://server/interscan/cgi-bin/HttpSaveCVP.dll
http://server/interscan/cgi-bin/HttpSaveCSP.dll

バッファオーバフローが発生した時の、メモリダンプ及びレジスタの内容は以下のようになります（英語版の例）。

メモリダンプ例：
023FFAC2  6D 6D 6D 6E 6E 6E  mmmnnn
023FFAC8  6F 6F 6F 70 70 70  oooppp

レジスタ例：
EAX = 023FFAC8 EIP = 6E6E6E6D

従って、call eaxを呼び出すことにより、メモリアドレス023FFAC8から任意のコードがリモートから実行される可能性があります。

問題を確認したバージョン：
InterScan VirusWall for Windows NT 3.51 build 1321 English

問題を確認したOS：
Windows NT Server 4.0 SP6a[English]

対策情報：
英語版のパッチは、support@support.trendmicro.comに直接リクエストするか、http://solutionbank.antivirus.com/solutions/solutionSearch.aspで本件の問題を検索して入手することが出来ます。日本のトレンドマイクロ社にこの問題について確認したところ、日本語版においてもパッチを提供する予定である、とのことでした。該当製品の日本語版がインストールされているサーバには、管理者のみアクセスできるようにIPアドレスなどによってアクセス制限を行うことを推奨します。

発見者：
三輪信雄（LAC） n-miwa@lac.co.jp

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/35.html