セキュリティ対策の株式会社ラック

閉じる

企業や組織のセキュリティ事故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談は予約不要、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

アーカイブ

Trend Micro InterScan VirusWall for Windows NT 3.51 FtpSaveC*P.dll Buffer Overflow Vulnerability

2001年6月13日 | 注意喚起

SNS Advisory No.31

Problem first discovered: 30 May 2001
Published: 13 Jun 2001
Last Updated: 21 Jun 2001

概要

Trend Micro社製 InterScan VirusWall for Windows NTで提供されている管理者用設定プログラム(FtpSaveCSP.dll及び、FtpSaveCVP.dll)にバッファオーバーフロー問題を発見しました。リモートからSYSTEM権限で悪意のプログラムを実行される可能性があります。

問題

既に発行されているSNS Advisory No.28(Trend Micro InterScan VirusWall for NT remote configuration Vulnerability)を悪用し、特定の設定項目に対して長い文字列を設定された後に、下記のdllがブラウズされた場合にバッファオーバーフローが発生します。

http://server/interscan/cgi-bin/FtpSaveCSP.dll

http://server/interscan/cgi-bin/FtpSaveCVP.dll

バッファオーバーフローが発生した時の、メモリダンプ及びレジスタの内容は以下のようになります(日本語版の例)。

00F9FC04 4F 50 50 50 51 51 OPPPQQ
00F9FC0A 51 52 52 52 53 53 QRRRSS
00F9FC10 53 54 54 54 55 55 STTTUU
00F9FC16 55 56 61 62 63 64 UVabcd
00F9FC1C 57 58 58 58 59 59 WXXXYY
00F9FC22 59 5A 5A 5A 61 61 YZZZaa
00F9FC28 61 61 61 61 61 61 aaaaaa
00F9FC2E 61 61 61 61 61 61 aaaaaa

EAX = 00F9FC1C EIP = 64636261

従って、call eaxを呼び出すことにより、メモリアドレス00F9FC1Cから任意のコードが実行される可能性があります。

問題を確認したバージョン

InterScan VirusWall for Windows NT 3.51J Japanese
InterScan VirusWall for Windows NT 3.51 English

問題を確認したOS

Windows NT 4.0 Server SP6a[Japanese Version]
Windows NT 4.0 Server SP6a[English Version]

対策情報

トレンドマイクロ社より、InterScan VirusWall for Windows NTの今後リリースするバージョンでは、InterScan VirusWall for Windows NTを外部へ公開している環境下でのWebコンソールの使用に耐えられるよう、セキュリティを順次強化していく予定である、という回答を得ています。

また、本障害に対する対策に関しては下記URLを参照してください。

http://www.trendmicro.co.jp/support/news/news78.htm

発見者

三輪 信雄(ラック)


アーカイブ一覧に戻る

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top