发布日期：2002-07-18
更新日期：2002-07-26

受影响系统：

Trend Micro InterScan VirusWall for Windows NT 3.52
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0 SP4
    - Microsoft Windows NT 4.0 SP3
    - Microsoft Windows NT 4.0 SP2
    - Microsoft Windows NT 4.0 SP1
    - Microsoft Windows NT 4.0

不受影响系统：

Trend Micro InterScan VirusWall for Windows NT 5.1
Trend Micro InterScan VirusWall for Windows NT 3.52 build 1466

描述：

---

BUGTRAQ  ID: 5259
CVE(CAN) ID: CVE-2002-0637

TrendMicro's VirusWall是一款企业级的防病毒软件。

TrendMicro's VirusWall对含有特殊邮件头信息的邮件缺少正确的处理，远程攻击者可以利用这个漏洞绕过防病毒的扫描。

当TrendMicro's VirusWall处理非标准邮件头构成的邮件时存在问题，如果邮件头的一些字段包含额外的空格间隔，TrendMicro's VirusWall就会忽略这个邮件而不去扫描，这些邮件头字段包括：

"Content-Type :"，"Content-Transfer-Encoding :"，' boundary="----=_NextPart_000_000E_01C2100B.F369D840 "'和' boundary="----= _NextPart_000_000E_01C2100B.F369D840"'

而一般流行的EMAIL客户端如Outlook，就会忽略其中的空格，在正确的显示邮件内容，如：

1)使用"Content-Type:"代替"Content-Type :"。
2)使用"Content-Transfer-Encoding:"代替"Content-Transfer-Encoding :"。
3)使用' boundary="----=_NextPart_000_000E_01C2100B.F369D840"'代替' boundary="----=_NextPart_000_000E_01C2100B.F369D840 "'。
4)使用' boundary="----=_NextPart_000_000E_01C2100B.F369D840"'代替' boundary="----= _NextPart_000_000E_01C2100B.F369D840"'。

这样攻击者可以使用上面描述的邮件头，并夹带包含恶意代码的附件，从而饶过防病毒软件检查，而被Outlook等邮件客户端执行。

<*来源：experts@securiteam.com
  
  链接：http://www.securiteam.com/securitynews/5KP000A7QE.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

Trend Micro
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

Trend Micro InterScan VirusWall for Windows NT 3.52:

Trend Micro Patch Hotfix_build1466.zip
ftp://ftp-download.trendmicro.com.ph/Gateway/isnt/Hotfix_build1466.zip

浏览次数：3044
严重程度：0（网友投票）