Trend Micro InterScan VirusWall の HTTP Proxy は、Content のスキャンを省く | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

Trend Micro InterScan VirusWall の HTTP Proxy は、Content のスキャンを省く

国際 海外情報

[翻訳:関谷 麻美]
2002年3月15日

概要
 Trend Micro InterScan VirusWall には、HTTP プロキシが含まれている。HTTP Proxy は、ウイルス感染したコンテンツがクライアントに渡る前に、Webサーバから受信したデータをスキャンをすることでユーザがウイルス感染したコンテンツをダウンロードするのを防ぐ。しかし、HTTP Proxy のデフォルトでの構成は、悪意ある Web サーバが変更した HTTP ヘッダを提供する場合、コンテンツのスキャンの省略を引き起こし、結果ウイルス感染したコンテンツを通してしまうだろう。

詳細
脆弱なシステム
Trend Micro InterScan VirusWall 3.6

 Trend Micro InterScan VirusWall HTTP プロキシには、 "Skip scanning if Content-length equals 0"と呼ばれる構成オプションが含まれている。このオプションはデフォルトで有効となっており、管理者の手引きで紹介されているのみで説明の記述はない。そのオプションは、"空" の Web ページのスキャンを阻止するのに役立つ。このオプションを有効にし、実際のコンテンツを持つが、content-length フィールドを 0 に設定した HTTP ヘッダの文書をサーバから受信した場合、スキャンを行わずその文書をクライアントに渡してしまう。もちろん、ウイルス感染した文書を取り扱う際、0 の content-length フィールドを返すよう Web サーバを修正した。この問題は、悪意ある Web 管理者もしくはユーザにウイルス感染したコンテンツを攻撃者のサイトからダウンロードさせようとする攻撃者により利用される可能性がある。残念なことに、Netscape 4.7、Netscape 6 そして MSIE 6 など多数の Web ブラウザは、HTTPヘッダのゼロ content-length フィールドを無視し、依然として文書をダウンロードしてしまう。

影響
 VirusWall のユーザは VirusWall により保護されることなく、意図せずに悪意ある Web サーバからウイルス感染したコンテンツをダウンロードする。
ベンダーの対応
 ベンダーには、2002年2月25日にこの情報を通知した。ベンダーは、この問題を修正するにはソフトウェアの大幅な変更が必要であると回答し、我々が提示した回避方法に同意した。

概念の実証
 その脆弱性を示すために変更が加えられたサーバ、および概念的ソースコードの実証は、下記の URL を参照すること。
http://www.inside-security.de/vwall_cl0_poc.html

 テストは、EICAR アンチウイルス・テスト・ファイルで行われた。アンチウイルス・テスト・ファイルに関する詳細は、European Institute for
Computer Anti-Virus Research (EICAR) の サイト http://www.eicar.org/ を参照すること。

提示した回避方法
 VirusWall の Web 管理インエーフェース を使用して HTTP プロキシ構成の"Skip scanning if Content-length equals 0" オプションを無効にする。無効になったサイトがゆっくりと表示される場合、改良された構成ページの "サーバ・タイムアウト" の値は、より小さい値に設定する必要がある。

追加情報
ドイツ、シュトゥットガルトの Inside Security GmbH のメンバーである
Jochen Thomas Bauer と Boris Wesslowski がこの脆弱性を発見し、文書化した。

[情報提供:SecuriTeam]
http://www.securiteam.com/

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. フィッシング詐欺支援サービスの価格表(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×