发布日期：2007-03-29
更新日期：2007-03-30

受影响系统：

Computer Associates BrightStor ARCserve Backup 11.5.2.0 (SP2)

描述：

---

BUGTRAQ  ID: 23209
CVE(CAN) ID: CVE-2007-1785

BrightStor ARCserve Backup可为各种平台的服务器提供备份和恢复保护功能。

BrightStor ARCserve Backup的Mediasvr.exe进程在处理特定的RPC报文数据时存在漏洞，远程攻击者可能利用此漏洞控制服务器。

Mediasvr.exe所导入的几个dll处理通过xdr过程的RPC数据时存在设计错误。RPC报文中的4个字节被处理为特定的地址，最终被加载到ECX。带有至少8字节NULL字符的191 (0xbf)号xdr过程调用会导致漏洞的触发。

.text:0040AACD 008 mov ecx, [esp+8]
.text:0040AAD1 008 mov dword_418820, esi
.text:0040AAD7 008 push offset dword_418820
.text:0040AADC 00C mov eax, [ecx]
.text:0040AADE 00C call dword ptr [eax+2Ch]

这时就可以控制ECX（esp+8为地址数据）。报文中的数据被储存在相对静态的内存中，地址被加载到EAX，最后从EAX+2Ch处执行，而这是报文中的可控数据，导致执行攻击者指定的任意指令。

<*来源：M. Shirk （shirkdog_list@hotmail.com）
  
  链接：http://marc.info/?l=bugtraq&m=117526740928138&w=2
        http://secunia.com/advisories/24682/
        http://marc.info/?l=bugtraq&m=117535755231601&w=2
        http://marc.info/?l=bugtraq&m=117760523114129&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.shirkdog.us/camediasvrremote.py

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 将mediasvr.exe文件重新命名未无效的文件名，如mediasvc.exe.disable，然后重启Tape Engine服务。

厂商补丁：

Computer Associates
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://supportconnect.ca.com/

浏览次数：3390
严重程度：0（网友投票）