发布日期：2003-07-17
更新日期：2003-07-23

受影响系统：

WatchGuard ServerLock 2.0.2
WatchGuard ServerLock 2.0.1
WatchGuard ServerLock 2.0

不受影响系统：

WatchGuard ServerLock 2.0.4
WatchGuard ServerLock 2.0.3

描述：

---

BUGTRAQ  ID: 8222

WatchGuard ServerLock是一款用于保护操作系统完整性的工具，可使任何人不能修改部分文件，部分注册表键值和装载未明驱动。

WatchGuard ServerLock存在DLL注入问题，本地攻击者可以利用这个漏洞通过ZwSetSystemInformation()函数装载任意模块到Windows 2000内核，可绕过安全限制。

WatchGuard ServerLock对"HKLM\System\CurrentControlSet\Services"键值，和替代"\Winnt\System32\drivers"目录中的文件，及调用ZwSetSystemInformation()都做了限制。不过ServerLock允许可信任程序调用ZwSetSystemInformation()函数。攻击者可以把恶意程序存放在"\WINNT\system32\drivers\"目录中，通过DLL注入手段，迫使可信进程执行ZwSetSystemInformation()函数，把恶意程序装载到内核中。

<*来源：Jan K. Rutkowski （jkrutkowski@elka.pw.edu.pl）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=105848106631132&w=2
*>

建议：

---

厂商补丁：

WatchGuard
----------
ServerLock 2.0.3及之后的版本不存在此漏洞，可访问WatchGuard LiveSecurity website获得相关信息：

https://www.watchguard.com/archive/softwarecenter.asp

浏览次数：2769
严重程度：0（网友投票）