|
趋势病毒防火墙的编码缺陷允许防火墙被突破
趋势病毒防火墙的编码缺陷允许防火墙被突破 (APP,补丁)
涉及程序:
Interscan Viruswall 3.x
描述:
趋势病毒防火墙的编码缺陷允许防火墙被突破
详细:
根据测试,在用户使用HTTP1.1块传输编码和windows 平台HTTP1.0 gzip 内容编码时TrendMicro VirusWall病毒防火墙可以被突破。
HTTP1.0包含内容编码报头,其指向端到端的内容编码。HTTP1.1加入了传输编码报头,信息使用指向逐跳路由的传输编码。从而,压缩能够被用content-encoding或transfer-encoding完成。
尽管趋势公司的Interscan Viruswall 3.x
在设计上并不支持HTTP1.1,但是攻击者可以通过递交没有使用块传输编码的恶意文件阻塞HTTP1.1。因此,许多正在使用HTTP1.1的用户可能易遭到病毒和木马攻击
Gzip 内容编码(gzip Content Encoding):
下载一个zip压缩的文件并不意味着使用了内容编码。这种情况下你将获得一个连接类型是application/zip的应答(可参考zip-file.txt)。在下面的例子中,我们的网页服务器配置使用gzip内容编码。
块传输编码(Chunk Transfert Encoding):
使用HTTP1.1块传输编码,发送者可以将信息体分解成任意长度的块,每一块发送时都带有各自的长度预设信息。当HTTP服务器不知道响应信息长度时使用块传输编码。但是用gzip压缩时也总是这种情况。
在IE浏览器被配置成使用HTTP1.1及代理链接构架要求使用HTTP1.1来执行时代理链接也可以使用HTTP1.1 。
受影响程序程序:
InterScan VirusWall 3.6 Readhat 7.0 在块传输编码上存在缺陷
InterScan VirusWall 3.52 Windows 在块传输编码和 gzip 内容编码上均存在缺陷
攻击方法:
测试站点
http://www.althes.fr/virustest/index.html
解决方案:
* 代理链接使用HTTP1.0
* 趋势公司的InterScan Viruswall version 5支持HTTP1.1块传输编码,不受此缺陷影响。建议升级到版本InterScan
Viruswall version 5 |