xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

NAI WebShield SMTP 不正确处理MIME头漏洞


发布时间:2001-11-30
更新时间:2001-11-30
严重程度:
威胁程度:欺骗
错误类型:设计错误
利用方式:服务器模式

受影响系统
WinNT4srv, sp6a, secrollup + few other hotfix,
WebShield for NT 4.5 or 4.5mr1a
详细描述
NAI WebShield SMTP 存在对附件不进行病毒检查和内容过滤问题。

最近流行的BadTrans.b病毒可以通过WebShield,如果WebShield存在内容过滤
可以对所有信息包括如scr,pif名字的附件进行过滤,但其实规则没有正确采用。

问题在于NAI WebShield SMTP没有很好的处理所有MIME 头,如下WEBSHIELD不能
解析并且认为信息没有带附件。

----SNIP----
Received: FROM xxx.xxx.xxx BY xxx.xxx.xxx ; Mon Nov 26 20:36:21 2001 +0200
Received: from xxx.xxx.xxx ([xxx.xxx.xxx.xxx]:35428 "EHLO
xxx.xxx.xxx") by xxx.xxx.xxx with ESMTP id ;
Mon, 26 Nov 2001 16:01:32 +0200
Received: from xxx.xxx (xxx.xxx.xxx.xxx [xxx.xxx.xxx.xxx])
by xxx.xxx.xxx (8.11.4/8.11.2) with SMTP id fAQE1Rc16568
for ; Mon, 26 Nov 2001 16:01:27 +0200 (EET)
Date: Mon, 26 Nov 2001 16:01:27 +0200 (EET)
Message-Id: <200111261401.fAQE1Rc16568@xxx.xxx.xxx>
From: "BadMail"
To: j.doe@example.com
Subject: Re: CV
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1


--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="


--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable



  


-------- Original Message --------
From: - Thu Nov 29 15:09:24 2001
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
BCC: "jari.helenius" <jari.helenius@kolumbus.fi>
Message-ID: <3C063383.5090508@mawaron.com>
Date: Thu, 29 Nov 2001 15:09:23 +0200
From: Jari Helenius <jari.helenius@mawaron.com>
Organization: Mawaron Oy
User-Agent: Mozilla/5.0 (Windows; U; WinNT4.0; en-US; m18)
Gecko/20001108 Netscape6/6.0
X-Accept-Language: en
MIME-Version: 1.0
To: vuldb@securityfocus.com
Subject: NAI Webshield SMTP for WinNT MIME header vuln that allows
BadTrans to pass
Content-Type: text/plain; charset=us-ascii; format=flowed
Content-Transfer-Encoding: 7bit






--====_ABC0987654321DEF_====--


--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="NEWS_DOC.DOC.scr"
Content-Transfer-Encoding: base64
Content-ID:


*****ATTACHMENT REMOVED******


--====_ABC1234567890DEF_====


----SNIP----

测试代码
见描述

解决方案
对内容过滤增加对audio/x-wav的信息体检查。

相关信息
Jari Helenius (jari.helenius@mawaron.com)
参考:http://archives.neohapsis.com/archives/bugtraq/2001-11/0262.html
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved