アーカイブ
Trend Micro InterScan VirusWall for Windows NT 3.51 FtpSaveC*P.dll Buffer Overflow Vulnerability
2001年6月13日 | 注意喚起
SNS Advisory No.31
Problem first discovered: 30 May 2001
Published: 13 Jun 2001
Last Updated: 21 Jun 2001
概要
Trend Micro社製 InterScan VirusWall for Windows NTで提供されている管理者用設定プログラム(FtpSaveCSP.dll及び、FtpSaveCVP.dll)にバッファオーバーフロー問題を発見しました。リモートからSYSTEM権限で悪意のプログラムを実行される可能性があります。
問題
既に発行されているSNS Advisory No.28(Trend Micro InterScan VirusWall for NT remote configuration Vulnerability)を悪用し、特定の設定項目に対して長い文字列を設定された後に、下記のdllがブラウズされた場合にバッファオーバーフローが発生します。
http://server/interscan/cgi-bin/FtpSaveCSP.dll
http://server/interscan/cgi-bin/FtpSaveCVP.dll
バッファオーバーフローが発生した時の、メモリダンプ及びレジスタの内容は以下のようになります(日本語版の例)。
00F9FC04 4F 50 50 50 51 51 OPPPQQ
00F9FC0A 51 52 52 52 53 53 QRRRSS
00F9FC10 53 54 54 54 55 55 STTTUU
00F9FC16 55 56 61 62 63 64 UVabcd
00F9FC1C 57 58 58 58 59 59 WXXXYY
00F9FC22 59 5A 5A 5A 61 61 YZZZaa
00F9FC28 61 61 61 61 61 61 aaaaaa
00F9FC2E 61 61 61 61 61 61 aaaaaa
EAX = 00F9FC1C EIP = 64636261
従って、call eaxを呼び出すことにより、メモリアドレス00F9FC1Cから任意のコードが実行される可能性があります。
問題を確認したバージョン
InterScan VirusWall for Windows NT 3.51J Japanese
InterScan VirusWall for Windows NT 3.51 English
問題を確認したOS
Windows NT 4.0 Server SP6a[Japanese Version]
Windows NT 4.0 Server SP6a[English Version]
対策情報
トレンドマイクロ社より、InterScan VirusWall for Windows NTの今後リリースするバージョンでは、InterScan VirusWall for Windows NTを外部へ公開している環境下でのWebコンソールの使用に耐えられるよう、セキュリティを順次強化していく予定である、という回答を得ています。
また、本障害に対する対策に関しては下記URLを参照してください。
http://www.trendmicro.co.jp/support/news/news78.htm
発見者
三輪 信雄(ラック)