趋势InterScan病毒防火墙Content-Length扫描可被绕过

/ns/ld/softld/data/20020315022341.htm

翻译:晓澜 <http://www.unsecret.org>
   QQ: 42449970

受影响系统:
Trend Micro Interscan Viruswall (HP-UX) 3.6
Trend Micro Interscan Viruswall (Linux) 3.6
- RedHat Linux 6.1 i386
- RedHat Linux 6.2 i386
- S.u.S.E. Linux 6.4
- S.u.S.E. Linux 7.0
- TurboLinux Turbo Linux 6.1
Trend Micro Interscan Viruswall (Solaris) 3.6
Trend Micro InterScan VirusWall for Windows NT 3.51
- Microsoft Windows NT 3.5
- Microsoft Windows NT 3.5.1
- Microsoft Windows NT 3.5.1SP1
- Microsoft Windows NT 3.5.1SP2
- Microsoft Windows NT 3.5.1SP3
- Microsoft Windows NT 3.5.1SP4
- Microsoft Windows NT 3.5.1SP5
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0SP1
- Microsoft Windows NT 4.0SP2
- Microsoft Windows NT 4.0SP3
- Microsoft Windows NT 4.0SP4
- Microsoft Windows NT 4.0SP5
- Microsoft Windows NT 4.0SP6
- Microsoft Windows NT 4.0SP6a

漏洞描述

Trend Micro InterScan VirusWall是一款性能优良的病毒防火墙。它能检查通过HTTP、SMTP和FTP
传输的内容,以防止病毒和恶意代码。

在该病毒防火墙的部分版本中发现存有漏洞,防火墙中有一个设置称为"不Content-length为0的内容",该
项目默认是被选中的。而恶意网站则可能通过将头信息的Content-length设为0来绕过病毒防火墙的扫描。
由于当前流行的客户端都会忽略头信息而显示其中的内容,这就可能导致客户端受到病毒的感染。

据尚未证实的消息,还有一个版本的病毒防火墙也可能存在这个漏洞

漏洞利用:

Inside Security GmbH提供了一个范例页面

http://www.inside-security.de/vwall_cl0_poc.html

解决方法:

用病毒防火墙Web管理界面在HTTP Proxy设置中取消"Skip scanning if Content-length equals 0"选项