Trend Micro InterScan VirusWall空格间隔扫描绕过漏洞

漏洞信息详情

Trend Micro InterScan VirusWall空格间隔扫描绕过漏洞

• CNNVD编号：CNNVD-200207-062
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0637
  
• 漏洞类型：
  
  
  其他
  
• 发布时间：
  
  2002-07-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  trend_micro
• 漏洞来源：
  experts@securitea…

TrendMicro\’\’s VirusWall是一款企业级的防病毒软件。
TrendMicro\’\’s VirusWall对含有特殊邮件头信息的邮件缺少正确的处理，远程攻击者可以利用这个漏洞绕过防病毒的扫描。
当TrendMicro\’\’s VirusWall处理非标准邮件头构成的邮件时存在问题，如果邮件头的一些字段包含额外的空格间隔，TrendMicro\’\’s VirusWall就会忽略这个邮件而不去扫描，这些邮件头字段包括：
\”Content-Type ：\”，\”Content-Transfer-Encoding ：\”，\’\’ boundary=\”—-=_NextPart_000_000E_01C2100B.F369D840 \”\’\’和\’\’ boundary=\”—-= _NextPart_000_000E_01C2100B.F369D840\”\’\’
而一般流行的EMAIL客户端如Outlook，就会忽略其中的空格，在正确的显示邮件内容，如：
1)使用\”Content-Type：\”代替\”Content-Type ：\”。
2)使用\”Content-Transfer-Encoding：\”代替\”Content-Transfer-Encoding ：\”。
3)使用\’\’ boundary=\”—-=_NextPart_000_000E_01C2100B.F369D840\”\’\’代替\’\’ boundary=\”—-=_NextPart_000_000E_01C2100B.F369D840 \”\’\’。
4)使用\’\’ boundary=\”—-=_NextPart_000_000E_01C2100B.F369D840\”\’\’代替\’\’ boundary=\”—-= _NextPart_000_000E_01C2100B.F369D840\”\’\’。
这样攻击者可以使用上面描述的邮件头，并夹带包含恶意代码的附件，从而饶过防病毒软件检查，而被Outlook等邮件客户端执行。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。
厂商补丁：
Trend Micro
———–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Trend Micro InterScan VirusWall for Windows NT 3.52:

Trend Micro Patch Hotfix_build1466.zip

ftp://ftp-download.trendmicro.com.ph/Gateway/isnt/Hotfix_build1466.zip

来源: www.securiteam.com
链接:http://www.securiteam.com/securitynews/5KP000A7QE.html

来源: XF
名称: interscan-viruswall-protection-bypass(9464)
链接:http://www.iss.net/security_center/static/9464.php