SNS Advisory No.38
Trend Micro Virus Buster （ver.3.5x） Remote read file of IUSER authority Vulnerability

Problem first discovered: 18Jul 2001
Published:20 Aug2001

概要：
Trend Micro社製 ウイルスバスターコーポレートエディション ver.3.5xのCGIプログラムのひとつ（cgiWebupdate.exe）にセキュリティ上の問題を発見しました。IUSER権限で読み出せる任意のファイルをリモートから読み出される可能性があります。

問題：
ウイルスバスターコーポレートエディションの設定に用いられるCGIプログラムのうち、cgiWebupdate.exeに対して一般的なブラウザから悪意の引数を与えることによって、IUSERに読み込み権限のある任意のファイルの内容表示が可能です。

問題を確認したバージョン：
ウイルスバスターコーポレートエディション ver.3.52
ウイルスバスターコーポレートエディション ver.3.53
ウイルスバスターコーポレートエディション ver.3.54

問題を確認したOS：
Windows 2000 Server

対策情報：
Trend Micro社からこの問題の修正パッチが公開されています。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3086

発見者：
三輪信雄（LAC） n-miwa@lac.co.jp

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/38.html