Symantec 企业级防火墙SMTP代理信息泄露漏洞

发布时间：2002-02-23
更新时间：2002-02-23
严重程度：中
威胁程度：服务器信息泄露
错误类型：设计错误
利用方式：服务器模式

BUGTRAQ ID：4141

受影响系统

Symantec Enterprise Firewall 6.5.2 NT/2000
   - Microsoft Windows 2000 Advanced Server SP1
   - Microsoft Windows 2000 Advanced Server SP2
   - Microsoft Windows 2000 Professional SP1
   - Microsoft Windows 2000 Professional SP2
   - Microsoft Windows 2000 Server SP1
   - Microsoft Windows 2000 Server SP2
   - Microsoft Windows 2000 Workstation SP1
   - Microsoft Windows 2000 Workstation SP2
   - Microsoft Windows 2000 Workstation SP3
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6a

详细描述
Symantec Enterprise Firewall (SEP) 是一个高性能防火墙解决方案，适用于
WINDOWS和SOLARIS操作系统。

Symantec Enterprise Firewall (SEP)包含一个SMTP代理功能，这可以对收件人
隐藏内部网络结构信息，Symantec企业级防火墙使用重写SMTP头来完成这个功能。

当防火墙配置成提供NAT给SMTP连接的时候，通过映射内部服务器地址到一个外部
公共地址的功能会存在一定问题。防火墙的SMTP代理会分析SMTP格式和通过编辑IP
头动态改变IP地址，而进入或者外出SMTP连接本来应该翻译成公共地址而使用
防火墙的物理地址来代替，就是说SMTP代理在SMTP协议交换中依旧使用防火墙的
物理地址和名字，造成防火墙结构信息被泄露。

测试代码
尚无

解决方案
临时方法：

配置防火墙使用防火墙名字和防火墙外部接口名一样的名字。

如果NAT不需要，使用SMTP精灵指导来设置所有外出和进入的SMTP通信规则和重定向。

相关信息
Martin O'Neal <BugTraq@corsaire.com>.
参考：http://online.securityfocus.com/archive/1/257234
相关主页：http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=47

最近严重漏洞

Symantec 企业级防火墙SMTP代理信息泄露漏洞