发布日期：2002-03-11
更新日期：2002-03-11

受影响系统：

Trend Micro Interscan Viruswall (HP-UX) 3.6
Trend Micro Interscan Viruswall (Solaris) 3.6
Trend Micro Interscan Viruswall (Linux) 3.6
    - RedHat Linux 6.2 x86
    - RedHat Linux 6.1 x86
    - RedHat Linux 6.1
    - SuSE Linux 7.0
    - SuSE Linux 6.4
    - Turbo Linux 6.1
Trend Micro InterScan VirusWall for Windows NT 3.51
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0
    - Microsoft Windows NT 3.5.1SP5
    - Microsoft Windows NT 3.5.1SP4
    - Microsoft Windows NT 3.5.1SP3
    - Microsoft Windows NT 3.5.1SP2
    - Microsoft Windows NT 3.5.1SP1
    - Microsoft Windows NT 3.5.1
    - Microsoft Windows NT 3.5

描述：

---

BUGTRAQ  ID: 4265
CVE(CAN) ID: CVE-2002-0440

Trend Micro InterScan VirusWall是一款高性能Internet网关病毒扫描程序，可以扫描通过HTTP，SMTP和FTP入站的病毒和恶意代码。

Trend Micro InterScan VirusWall由于对Content-length域的处理不够全面，可导致恶意代码或者病毒绕过此病毒防护墙的扫描。

在某些版本下，存在一个称为"Skip scanning if Content-length equals 0"的选项在程序中是默认使能的。恶意WEB服务器可以返回设置了Content-length域为0的带有病毒或者恶意代码的信息给客户端，此信息就能绕过病毒防火墙的扫描，而多数流行的客户端程序会忽略这个头信息并且显示内容，这就导致嵌入恶意代码可在客户端绕过病毒防火墙的检测而执行。

其他VirusWall可能存在此漏洞，不过没有证实过。

<*来源：Thomas Bauer （jtb@inside-security.de）
        Boris Wesslowski （bw@inside-security.de）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0098.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用VirusWall WEB管理接口在HTTP代理配置中不选择"Skip scanning if   Content-length equals 0"选项。当关闭此选项时，部分站点显示会减慢，这种情况下在高级配置中的"server timeout"选项值需要配置一个较小的值。

厂商补丁：

Trend Micro
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.antivirus.com/

浏览次数：3621
严重程度：0（网友投票）