Un desboradamiento de buffer en el gateway SMTP del programa antivirus VirusWall permite la ejecución de código arbitrario en el servidor. Trend Micro facilita un parche para eliminar la vulnerabilidad de su producto.
InterScan VirusWall es un producto que integra la protección contra virus en servidores Internet analizando, en tiempo real, el tráfico que circula por SMTP, HTTP y FTP.
El ataque puede llevarse a cabo enviando un comando HELO con un argumento suficientemente largo como para desbordar el buffer encargado de recoger esta cadena.
Ejemplo:
telnet servidor.com 25 Connected to servidor.com.
Escape character is ‘^]’.
220 servidor.com InterScan VirusWall NT ESMTP 3.23 (build 9/10/99) ready at Sun, 07 Nov 1999 03:38:44 -0800 (Pacific Standard Time) HELO [2048 caracteres]
Código fuente del exploit
http://www.beavuh.org/exploits/vwxploit.asm
Exploit ejecutable
http://www.beavuh.org/exploits/vwxploit.exe
Parche (no oficial)
http://www.beavuh.org/exploits/V323PTCH.COM
Parche (Trend Micro)
http://download.antivirus.com/ftp/products/patches/isvw331_patch.zip
M s informaci¢n:
InterScan VirusWall
http://www.antivirus.com/products/isvw/default.htm
Aviso en Bugtraq
Bernardo Quintero
bernardo@hispasec.com
