发布日期：2001-06-13
更新日期：2001-06-21

受影响系统：

Trend Micro InterScan VirusWall for Windows NT 3.51
  - Microsoft Windows NT 4.0
  - Microsoft Windows NT 3.51

描述：

---

BUGTRAQ ID ： 2870

Trend InterScan VirusWall有两个远程管理模块，它们接受从URL传递的各种参数。但
是由于没有检查参数的长度，导致攻击者可以通过缓冲区溢出攻击来获得管理员权限或
执行任意代码。

<*来源：Nobuo Miwa (LAC / n-miwa@lac.co.jp)
  主页：http://www.lac.co.jp/security/english/snsadv_e/31_e.html
*>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Nobuo Miwa (LAC / n-miwa@lac.co.jp)提供了如下测试方法：

向如下的链接提供超长的参数，
  http://server/interscan/cgi-bin/FtpSaveCSP.dll
  http://server/interscan/cgi-bin/FtpSaveCVP.dll

可能发生缓冲区溢出，结果如下(日文版)
  00F9FC04  4F 50 50 50 51 51  OPPPQQ
  00F9FC0A  51 52 52 52 53 53  QRRRSS
  00F9FC10  53 54 54 54 55 55  STTTUU
  00F9FC16  55 56 61 62 63 64  UVabcd
  00F9FC1C  57 58 58 58 59 59  WXXXYY
  00F9FC22  59 5A 5A 5A 61 61  YZZZaa
  00F9FC28  61 61 61 61 61 61  aaaaaa
  00F9FC2E  61 61 61 61 61 61  aaaaaa

保存的寄存器也被覆盖：

  EAX = 00F9FC1C  EIP = 64636261



建议：

---

临时解决方法：

我们建议您暂时采用如下解决方法：

1.以非特权身份安装InterScan VirusWall
2.限制对该服务的访问

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：

http://www.antivirus.com/products/isvw/


浏览次数：4356
严重程度：0（网友投票）