SNS Advisory No.36
Trend Micro InterScan WebManager Version 1.2 HttpSave.dll Buffer Overflow Vulnerability

Problem first discovered: 11Jun 2001
Published: 2 Jul 2001 

概要：
悪意あるモバイルコードの対策ソフトウェアであるTrend Micro社製 InterScan WebManager Version 1.2の管理用Webコンソールに使用されているHttpSave.dllにバッファオーバーフローの問題を発見しました。リモートからSYSTEM権限で悪意のプログラムを実行されてしまう可能性があります。

問題：
Trend Micro社製 InterScan WebManagerには、管理用のWebコンソールを提供することのできる機能があります。この管理用Webコンソールに用いられるプログラムのひとつであるHttpSave.dllには、ある特定の引数が与えられた場合にバッファオーバーフローを発生させてしまう問題があります。以下はバッファオーバーフローが発生した際のメモリダンプの一部およびレジスタの内容の例です。

バッファオーバフローが発生した時の、メモリダンプ、およびレジスタの内容は以下のようになります（英語版の例）。
 

メモリダンプ例：
00ECFAF0  4F 4F 4F 4F  OOOO
00ECFAF4  50 50 50 50  PPPP
00ECFAF8  51 51 51 51  QQQQ
00ECFAFC  52 52 52 52  RRRR
00ECFB00  53 53 53 53  SSSS
00ECFB04  54 54 54 54  TTTT

レジスタ例：
EAX = 00ECFAF4
EIP = 4F4F4F4F

従って、call eaxを呼び出すことにより、メモリアドレス00ECFAF4から任意のコードが実行されてしまう可能性があります。

問題を確認したバージョン：
Trend Micro InterScan WebManager Version 1.2

問題を確認したOS：
Microsoft Windows NT Server 4.0 + SP6a[English]

対策情報：
Trend Micro社にこの問題を報告し、次期バージョンで修正するという旨の回答を得ることができました。しかし、具体的なリリース時期等についての回答を得ることはできませんでした。したがって、次期バージョンがリリースされるまでの間は、管理者のみアクセスできるようにIPアドレスなどによってアクセス制限を行うことを推奨します。

発見者：
新井悠（LAC） y.arai@lac.co.jp

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/36.html