アーカイブ
Trend Micro InterScan eManager for NT Multiple Program Buffer Overflow Vulnerability
2001年9月12日 | 注意喚起
SNS Advisory No.42
Problem first discovered: 27 Jul 2001
Published: 12 Sep 2001
概要
Trend Micro社製 InterScan eManager for NTには、Buffer Overflowを発生させてしまう問題があります。この問題が悪意ある攻撃者に利用された場合、リモートから任意のコードをLocal System権限で実行されてしまう可能性があります。
問題
Trend Micro社製 InterScan eManagerは、同社製ソフトウェア InterScanVirusWall用のプラグインソフトウェアです。これを利用することでSPAMメールや、不適切なコンテンツのフィルタリング機能を利用することができます。また、こうした機能をリモートから設定するために利用されるWebコンソールをInterScan eManagerは持っています。このWebコンソールで設定を行うために使用される複数のCGIプログラムにはBuffer Overflowを発生させてしまう問題があります。悪意ある攻撃者はこれを利用することで、リモートからLocal Systemコンテキストで任意のコードを実行させることができます。InterScan eManagerは自身で認証機能を持たず、これらのCGIプログラムには通常任意のユーザがリモートから利用可能です。したがって、攻撃者によって容易にこの問題を利用することができてしまう可能性があります。
Buffer Overflowを発生させてしまうプログラム一覧
/eManager/cgi-bin/register.dll
/eManager/Content%20Management/ContentFilter.dll
/eManager/Content%20Management/SFNofitication.dll
/eManager/Email%20Management/cgi-bin/register.dll
/eManager/Email%20Management/cgi-bin/TOP10.dll
/eManager/Email%20Management/cgi-bin/SpamExcp.dll
/eManager/Email%20Management/cgi-bin/spamrule.dll
問題を確認したバージョン
InterScan eManager for NT Ver.3.51
InterScan eManager for NT Ver.3.51J
問題を確認したOS
Windows NT 4.0 Server + SP6a[English]
Windows NT 4.0 Server + SP6a[Japanese]
対策情報
Trend Micro社よりこの問題の修正プログラムが公開されています。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=3142
なお、英語版InterScan eManagerの修正プログラムに関してはリリース時期は未定とのことです。
代替案
Trend Micro社より同社製品 InterScan VirusWall for NT同様のWebコンソール使用時の注意についての情報が提供されています。以下はその情報を元に作成した代替案です。この問題が利用される可能性を低下させる効果があります。
- Webコンソールを使用しない場合はInternet Service Managerを利用し、仮想ディレクトリ/eManagerを削除する
- Internet Service Managerを利用し、Webコンソール用のコンテンツにアクセスする際はNTLM認証を使用するように設定する
- 信頼できないネットワークやホストからInterScan eManager Webコンソールへの通信をファイアウオール等で遮断する
発見者
新井悠(ラック)