发布日期：2001-05-28
更新日期：2001-05-28

受影响系统：

Symantec Norton AntiVirus 2000.0
   - Microsoft Windows 98
   - Microsoft Windows 95
   - Microsoft Windows NT 4.0
   - Microsoft Windows 2000

不受影响系统：

Symantec Norton Anti-Virus 2001
   - Microsoft Windows ME
   - Microsoft Windows 98
   - Microsoft Windows 95b
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 3.5.1
   - Microsoft Windows NT 3.5
   - Microsoft Windows 2000

描述：

---

BUGTRAQ ID: 2766
  
Norton Anti-Virus 2000是一个应用广泛的商业反病毒软件，POProxy是集成在其中的电
子邮件扫描器，通过“电子邮件保护”的选项可以激活。
POProxy扮演着一个到POP服务器的代理的角色，监听于端口110。当用户请求他们的邮件时，
这些请求经过POProxy代理，所有流经它的邮件都会被扫描是否包含病毒。如果攻击者发送包
含269个字符或更长的数据包，则poproxy.exe将崩溃。攻击者有可能执行任意代码。

<* 来源：bugtraq@blue-ferret.com.au *>




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

bugtraq@blue-ferret.com.au 提供如下攻击实例：

perl -e '{print "A"x269}' |nc 10.0.2.1 110

其中10.0.2.1的机器上运行有poproxy.exe。


建议：

---

临时解决办法：

NSFOCUS建议您暂时停止使用"电子邮件保护"功能。

厂商补丁：

Symantec已经为此提供补丁，该补丁修改了端口设置，使得只有localhost可以访问该端口。
可以通过Norton Anti-Virus 2000的LiveUpdate功能下载该补丁。关于如何使用LiveUpdate
请参看：  
http://service1.symantec.com/SUPPORT/sharedtech.nsf/docid/1999121613163206&src=w


浏览次数：4090
严重程度：0（网友投票）