发布日期：2006-07-14
更新日期：2006-07-17

受影响系统：

McAfee ePolicy Orchestrator < 3.5.5.438

不受影响系统：

McAfee ePolicy Orchestrator 3.6
McAfee ePolicy Orchestrator 3.5.5.438

描述：

---

BUGTRAQ  ID: 18979

McAfee ePolicy Orchestrator（ePO）是一种业界领先的系统安全管理解决方案，能够帮助企业有效抵御各种恶意威胁和攻击。

ePO的框架服务对用户POST请求参数的检查过滤的实现上存在漏洞，远程攻击者可以利用此漏洞对服务器执行目录遍历攻击。

ePO的框架服务通过/spipe/pkg接口接受POST请求。POST请求的头部可以指示软件包请求的类型、UUID和计算机主机名。根据请求的不同，之后的数据块可能包含有该请求所特定的数据。在本漏洞所述的情况中，请求类型（PackageType）是PropsResponse，紧随其后数据指定了目录和xml文件名，然后是xml文件的内容。由于没有正确的过滤目录和文件名，攻击者可以使用目录遍历攻击以自定义的内容在系统中的任意位置写入文件名。

每个软件包请求都会使用静态的字节0xAA与软件包数据进行异或运算，然后使用SHA-1哈希和DSA签名。

有漏洞的软件包格式如下：

+00h WORD magic = "PO" (0x4F50)
+02h DWORD = 20000001h, 20001001h, or 30000001
+06h DWORD file offset of XML
+0Ah [E0h] fixed-length data
+0Ah DWORD
+0Eh DWORD
+12h DWORD length of XML
+16h [40h] ASCII ??? GUID
+56h [40h] ASCII ??? GUID
+96h DWORD
+9Ah [???] ASCII host name
...

+EAh [...] name-value pairs
X+00h DWORD length of following name string
+04h [...] ASCII name string (no null terminator)
X+00h DWORD length of following value data
+04h [...] value data (null terminated if ASCII string)

X+00h [...] XML
+00h WORD
+02h WORD length of following file name string
+04h [...] ASCII .xml file name string * traversal attack, may be any directory and file extension
X+00h DWORD length of following XML * increase length to prevent deletion
+04h [...] ASCII XML * filename data

X+00h DWORD length of signature data = 2Ch
+04h WORD (big-endian) number of bits in DSA signature 'r' component
+06h [14h] DSA signature 'r' component (technically it's variable-length)
+1Ah WORD (big-endian) number of bits in DSA signature 's' component
+1Ch [14h] DSA signature 's' component (also variable-length)

由于利用的是框架服务中已实现的函数，因此攻击是100%可用的。

<*来源：Barnaby Jack
        Derek Soeder （dsoeder@eeye.com）
  
  链接：http://www.eeye.com/html/research/advisories/AD20060713.html
*>

建议：

---

厂商补丁：

McAfee
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.mcafee.com/

浏览次数：2658
严重程度：0（网友投票）