发布日期：2002-02-26
更新日期：2002-02-26

受影响系统：

Trend Micro OfficeScan Corporate Edition 3.0
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Novell NetWare 4.1.1
    - Novell NetWare 4.1
Trend Micro OfficeScan Corporate Edition 3.11
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Novell NetWare 4.1.1
    - Novell NetWare 4.1
Trend Micro OfficeScan Corporate Edition 3.13
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Novell NetWare 4.1.1
    - Novell NetWare 4.1
Trend Micro OfficeScan Corporate Edition 3.5
    - Microsoft Windows NT 4.0
    - Microsoft Windows 98
    - Microsoft Windows 95
    - Microsoft Windows 2000 SP3
    - Novell NetWare 4.1.1
    - Novell NetWare 4.1

描述：

---

BUGTRAQ  ID: 1013
CVE(CAN) ID: CVE-2000-0203

Trend Micro OfficeScan是一种针对整个网段的分布式反病毒软件。安装过程中会提示是否采用WEB管理方式。如果选择采用WEB管理方式，OfficeScan客户端将侦听12345/TCP端口，用于定期接收病毒数据库更新或者来自OfficeScan管理端的命令。

远程攻击者有好几种办法对Trend Micro OfficeScan进行拒绝服务攻击。

向12345/TCP发送随机数据，tmlisten.exe的CPU占用率将高达100%，并引发一个Visual C++错误，最终导致机器崩溃。

向12345/TCP发送随机数据的同时，打开5个以上到该端口的TCP连接，该端口上的服务将停止响应。必须重启服务才能恢复正常。

同一网段的用户可能利用Sniffer捕捉管理命令，修改后重新发往客户端，这些请求的最后两个字节意义如下:

04: 远程卸载OfficeScan客户端
06: 开始扫描
07: 停止扫描

OfficeScan客户端向OfficeScan管理端提交URL请求，获取一些配置信息。如果攻击者伪造了一台有效的OfficeScan管理端服务器，就可能更改OfficeScan客户端扫描策略，比如只扫描.txt文件，不扫描软盘、光盘，指示OfficeScan客户端将被感染文件移动到别的位置。


<*来源：Jeff Stevens （jstevens@umeme.maine.edu）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=95171612414529&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=95176430720993&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=95187021518982&w=2
        http://marc.theaimsgroup.com/?l=bugtraq&m=95210865321420&w=2
*>

建议：

---

厂商补丁：

Trend Micro
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.antivirus.com/download/ofce_patch.htm

Trend Micro OfficeScan Corporate Edition 3.0:

    Trend Micro Patch OfficeScan 3.0
    ftp://download.antivirus.com/products/officescan/office313(patch).zip
    OfficeScan 3.0用户必须首先升级至OfficeScan 3.11，然后再打OfficeScan 3.13补丁。
    
    Trend Micro Upgrade OfficeScan 3.0
    ftp://download.antivirus.com/products/officescan/osce311gm2.zip
    OfficeScan 3.0用户为了打OfficeScan 3.13补丁必须先安装该软件包

Trend Micro OfficeScan Corporate Edition 3.5:

    Trend Micro Patch OfficeScan 3.5
    ftp://download.antivirus.com/products/officescan/osce351-1317.zip

Trend Micro OfficeScan Corporate Edition 3.11:

    Trend Micro Patch OfficeScan 3.11
    ftp://download.antivirus.com/products/officescan/office313(patch).zip
    该补丁包将OfficeScan 3.11升级至OfficeScan 3.13

Trend Micro OfficeScan Corporate Edition 3.13:

    Trend Micro Patch OfficeScan 3.13 Patch
    ftp://download.antivirus.com/products/officescan/office313(patch).zip

浏览次数：3879
严重程度：0（网友投票）