Trend Micro InterScan VirusWall の HTTP Proxy は、Content のスキャンを省く

［翻訳：関谷　麻美］
2002年3月15日

概要
　Trend Micro InterScan VirusWall には、HTTP プロキシが含まれている。HTTP Proxy は、ウイルス感染したコンテンツがクライアントに渡る前に、Webサーバから受信したデータをスキャンをすることでユーザがウイルス感染したコンテンツをダウンロードするのを防ぐ。しかし、HTTP Proxy のデフォルトでの構成は、悪意ある Web サーバが変更した HTTP ヘッダを提供する場合、コンテンツのスキャンの省略を引き起こし、結果ウイルス感染したコンテンツを通してしまうだろう。

詳細
脆弱なシステム
Trend Micro InterScan VirusWall 3.6

　Trend Micro InterScan VirusWall HTTP プロキシには、 "Skip scanning if Content-length equals 0"と呼ばれる構成オプションが含まれている。このオプションはデフォルトで有効となっており、管理者の手引きで紹介されているのみで説明の記述はない。そのオプションは、"空" の Web ページのスキャンを阻止するのに役立つ。このオプションを有効にし、実際のコンテンツを持つが、content-length フィールドを 0 に設定した HTTP ヘッダの文書をサーバから受信した場合、スキャンを行わずその文書をクライアントに渡してしまう。もちろん、ウイルス感染した文書を取り扱う際、0 の content-length フィールドを返すよう Web サーバを修正した。この問題は、悪意ある Web 管理者もしくはユーザにウイルス感染したコンテンツを攻撃者のサイトからダウンロードさせようとする攻撃者により利用される可能性がある。残念なことに、Netscape 4.7、Netscape 6 そして MSIE 6 など多数の Web ブラウザは、HTTPヘッダのゼロ content-length フィールドを無視し、依然として文書をダウンロードしてしまう。

影響
　VirusWall のユーザは VirusWall により保護されることなく、意図せずに悪意ある Web サーバからウイルス感染したコンテンツをダウンロードする。
ベンダーの対応
　ベンダーには、2002年2月25日にこの情報を通知した。ベンダーは、この問題を修正するにはソフトウェアの大幅な変更が必要であると回答し、我々が提示した回避方法に同意した。

概念の実証
　その脆弱性を示すために変更が加えられたサーバ、および概念的ソースコードの実証は、下記の URL を参照すること。
http://www.inside-security.de/vwall_cl0_poc.html

　テストは、EICAR アンチウイルス・テスト・ファイルで行われた。アンチウイルス・テスト・ファイルに関する詳細は、European Institute for
Computer Anti-Virus Research (EICAR) のサイト http://www.eicar.org/ を参照すること。

提示した回避方法
　VirusWall の Web 管理インエーフェースを使用して HTTP プロキシ構成の"Skip scanning if Content-length equals 0" オプションを無効にする。無効になったサイトがゆっくりと表示される場合、改良された構成ページの "サーバ・タイムアウト" の値は、より小さい値に設定する必要がある。

追加情報
ドイツ、シュトゥットガルトの Inside Security GmbH のメンバーである
Jochen Thomas Bauer と Boris Wesslowski がこの脆弱性を発見し、文書化した。

［情報提供：SecuriTeam］
http://www.securiteam.com/