LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

注意喚起 | 

TrendMicro OfficeScan Corp Edition ver.3.54 Remote read file of IUSER authority Vulnerability

SNS Advisory No.40

Problem first discovered: 21 Aug 2001
Published: 24 Aug 2001

概要

Trend Micro社製 OfficeScan Corp Edition ver.3.54のCGIプログラムのひとつ(cgiWebupdate.exe)にセキュリティ上の問題を発見しました。IUSER権限で読み出せる任意のファイルをリモートから読み出せる可能性があります。

問題

OfficeScan Cor Editionの設定に用いられるCGIプログラムのうち、cgiWebupdate.exeに対して一般的なブラウザから悪意のある引数を与えることによって、IUSERに読み込み権限のある任意のファイルの内容表示が可能です。

問題を確認したバージョン

OfficeScan Corp Edition ver.3.54

問題を確認したOS

Windows2000 Server

対策情報

同様の問題が日本語製品で確認されています。

基本モジュールは各国語版で共通ですので、以下の日本語製品のパッチを適用することで問題が解決されます。

http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3086

発見者

三輪信雄(ラック)


この記事は役に立ちましたか?

はい いいえ