Trend Micro InterScan WebManager Version 1.2 HttpSave.dll Buffer Overflow Vulnerability

SNS Advisory No.36

Problem first discovered: 11 Jun 2001
Published: 2 Jul 2001

概要

悪意あるモバイルコードの対策ソフトウェアであるTrend Micro社製 InterScan WebManager Version 1.2の管理用Webコンソールに使用されているHttpSave.dllにバッファオーバーフローの問題を発見しました。リモートからSYSTEM権限で悪意のプログラムを実行されてしまう可能性があります。

問題

Trend Micro社製 InterScan WebManagerには、管理用のWebコンソールを提供することのできる機能があります。この管理用Webコンソールに用いられるプログラムのひとつであるHttpSave.dllには、ある特定の引数が与えられた場合にバッファオーバーフローを発生させてしまう問題があります。以下はバッファオーバーフローが発生した際のメモリダンプの一部およびレジスタの内容の例です。

バッファオーバーフローが発生した時の、メモリダンプ、およびレジスタの内容は以下のようになります（英語版の例）。

メモリダンプ例

00ECFAF0 4F 4F 4F 4F OOOO
00ECFAF4 50 50 50 50 PPPP
00ECFAF8 51 51 51 51 QQQQ
00ECFAFC 52 52 52 52 RRRR
00ECFB00 53 53 53 53 SSSS
00ECFB04 54 54 54 54 TTTT

レジスタ例

EAX = 00ECFAF4
EIP = 4F4F4F4F

従って、call eaxを呼び出すことにより、メモリアドレス00ECFAF4から任意のコードが実行されてしまう可能性があります。

問題を確認したバージョン

Trend Micro InterScan WebManager Version 1.2

問題を確認したOS

Microsoft Windows NT Server 4.0 + SP6a[English]

対策情報

Trend Micro社にこの問題を報告し、次期バージョンで修正するという旨の回答を得ることができました。しかし、具体的なリリース時期等についての回答を得ることはできませんでした。したがって、次期バージョンがリリースされるまでの間は、管理者のみアクセスできるようにIPアドレスなどによってアクセス制限を行うことを推奨します。

発見者

新井悠（ラック）