The Vigil@nce team watches public vulnerabilities impacting your computers, and then offers security solutions, a database and tools to fix them.

Computer vulnerabilities of TrendMicro InterScan VirusWall

computer vulnerability CVE-2007-1591

Trend Micro: denial of service of UPX

Synthesis of the vulnerability

An attacker can create a malicious UPX program in order to stop Trend Micro antiviruses.
Impacted products: TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Severity: 2/4.
Consequences: denial of service on server, denial of service on service.
Provenance: document.
Creation date: 15/03/2007.
Identifiers: 1034587, BID-22965, CVE-2007-1591, VIGILANCE-VUL-6645.

Description of the vulnerability

Programs can be packed in order to shrink their size and make their analyze more complex. Trend Micro antiviruses support UPX packer (Ultimate Packer for eXecutables).

A program compacted with UPX can cause a division by zero in VsapiNT.sys driver.

An attacker can therefore send a compacted program in order to generate a denial of service.
Full Vigil@nce bulletin... (Free trial)

vulnerability note CVE-2007-0851

Trend Micro: buffer overflow of UPX

Synthesis of the vulnerability

An attacker can create a malicious UPX program in order to run code on Trend Micro antiviruses.
Impacted products: TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Severity: 3/4.
Consequences: user access/rights, denial of service on client.
Provenance: document.
Creation date: 08/02/2007.
Identifiers: 1034289, BID-22449, CVE-2007-0851, VIGILANCE-VUL-6534, VU#276432.

Description of the vulnerability

Programs can be packed in order to shrink their size and make their analysis more complex. Trend Micro antiviruses support UPX packer (Ultimate Packer for eXecutables).

A program compacted with UPX can lead to a buffer overflow. Technical details unknown.

An attacker can therefore send a compacted program in order to run code or to generate a denial of service.
Full Vigil@nce bulletin... (Free trial)

vulnerability bulletin CVE-2007-0602

InterScan VirusWall: buffer overflow of VSAPI

Synthesis of the vulnerability

An attacker can create an overflow in softwares linked to libvsapi.so library.
Impacted products: InterScan VirusWall.
Severity: 1/4.
Consequences: administrator access/rights.
Provenance: user shell.
Creation date: 26/01/2007.
Identifiers: BID-22240, CVE-2007-0602, EN-1034124, VIGILANCE-VUL-6503.

Description of the vulnerability

The VSAPI library (libvsapi.so) is installed by VirusWall under Linux.

This library exports a function which copies filenames in an array of 1024 bytes size. This function can therefore be exploited to generate a denial of service or to execute code.

The /opt/trend/ISBASE/IScan.BASE/vscan program is installed suid root and uses this library. Only root or members of iscan group can run this program. A local attacker, member of iscan group can therefore call vscan in order to generate an overflow to obtain root privileges.
Full Vigil@nce bulletin... (Free trial)

vulnerability CVE-2006-4339 CVE-2006-4340 CVE-2006-4790

OpenSSL / GnuTLS / NSS: bypassing a PKCS#1 signature check

Synthesis of the vulnerability

An attacker can create a malicious PKCS #1 signature which will be accepted as valid by OpenSSL, GnuTLS or NSS.
Impacted products: CiscoWorks, Cisco CSS, Cisco IPS, Cisco Prime Central for HCS, Secure ACS, WebNS, Debian, Fedora, FreeBSD, Tru64 UNIX, HP-UX, BIND, Mandriva Linux, Mandriva NF, NetBSD, OpenSSL, openSUSE, Oracle Directory Server, Oracle iPlanet Web Proxy Server, Oracle iPlanet Web Server, Java Oracle, Solaris, Trusted Solaris, RHEL, Slackware, Sun AS, Sun Messaging, ASE, InterScan VirusWall, TurboLinux.
Severity: 2/4.
Consequences: data flow.
Provenance: internet client.
Number of vulnerabilities in this bulletin: 3.
Creation date: 05/09/2006.
Revisions dates: 07/09/2006, 14/09/2006, 15/09/2006.
Identifiers: 102622, 102648, 102686, 102696, 102722, 102744, 102759, 102781, 102970, 10332, 20060901-01-P, 200708, 201255, 6378707, 6466389, 6467218, 6469236, 6469538, 6472033, 6473089, 6473494, 6488248, 6499438, 6567841, 6568090, BID-19849, c00794048, c00849540, c00967144, cisco-sr-20061108-openssl, CSCek57074, CSCsg09619, CSCsg24311, CSCsg58599, CSCsg58607, CSCtx20378, CVE-2006-4339, CVE-2006-4340, CVE-2006-4790, DSA-1173-1, DSA-1174-1, DSA-1182-1, emr_na-c01070495-1, FEDORA-2006-953, FEDORA-2006-974, FEDORA-2006-979, FreeBSD-SA-06:19.openssl, HPSBTU02207, HPSBUX02165, HPSBUX02186, HPSBUX02219, MDKSA-2006:161, MDKSA-2006:166, MDKSA-2006:207, NetBSD-SA2006-023, RHSA-2006:0661, RHSA-2006:0680-01, RHSA-2008:0264-01, RHSA-2008:0525-01, RT #16460, secadv_20060905, SSA:2006-310-01, SSRT061213, SSRT061239, SSRT061266, SSRT061273, SSRT071299, SSRT071304, SUSE-SA:2006:055, SUSE-SA:2006:061, SUSE-SR:2006:023, SUSE-SR:2006:026, TLSA-2006-29, VIGILANCE-VUL-6140, VU#845620.

Description of the vulnerability

The RSA Algorithm uses the following principle:
  Cipher = Message^e (mod n)
  Cipher^d (mod n) = Message
With:
 - n is the product of two big prime numbers
 - e is the public exponent, generally 3, 17 or 65537

The PKCS #1 standard defines features and usage of RSA algorithm.

The crypto/rsa/rsa_sign.c file contains the RSA_verify() function. This function does not correctly manage long paddings. When the public exponent is small (3, or 17 if modulo uses 4096 bits), this error leads to validation of invalid signatures.

This vulnerability permits an attacker to create a malicious PKCS #1 signature which will be accepted as valid by OpenSSL, GnuTLS or NSS.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability bulletin 4818

Antivirus : gestion incorrecte des fichiers contenant des échappements

Synthesis of the vulnerability

Lorsqu'un fichier contient des caractères d'échappement, les virus ne sont pas détectés, ou des erreurs se produisent lors de la consultation des journaux.
Impacted products: F-PROT AV, Kaspersky AV, InterScan VirusWall.
Severity: 2/4.
Consequences: user access/rights, data flow.
Provenance: internet server.
Creation date: 15/03/2005.
Identifiers: BID-12793, V6-AVZIPFILEESCAPE, VIGILANCE-VUL-4818.

Description of the vulnerability

Le bulletin VIGILANCE-VUL-3355 décrit une vulnérabilité concernant le caractère échappement utilisé dans les séquences ANSI. En effet, certaines combinaisons comme "Esc 2J" modifient l'apparence des terminaux Unix.

Un attaquant peut créer une archive ZIP dont les fichiers contiennent des séquences ANSI.

Les antivirus Kaspersky et F-Prot ne purgent pas ces séquences avant d'enregistrer les noms de fichiers dans les logs. Lorsque l'administrateur consulte les journaux sous un environnement Unix, ces séquences peuvent perturber l'affichage.

L'antivirus Micro Interscan Viruswall gère incorrectement ces séquences, et ne détecte pas le virus.

Ces vulnérabilités ont été démontrées dans des archives ZIP. Elles pourraient aussi concerner d'autres formats d'archivage.
Full Vigil@nce bulletin... (Free trial)

vulnerability note CVE-2005-0533

Trend Micro : buffer overflow de ARJ

Synthesis of the vulnerability

Un attaquant peut créer une archive ARJ illicite provoquant l'exécution de code sur les antivirus Trend Micro.
Impacted products: TrendMicro Internet Security, InterScan VirusWall, ScanMail.
Severity: 3/4.
Consequences: user access/rights.
Provenance: internet server.
Creation date: 24/02/2005.
Revision date: 25/02/2005.
Identifiers: 189, BID-12643, CVE-2005-0533, V6-TRENDMICROVSAPIARJBOF, VIGILANCE-VUL-4784.

Description of the vulnerability

La bibliothèque VSAPI est employée par les produits Trend Micro. Elle gère notamment le décodage des archives ARJ.

Les archives ARJ peuvent contenir des fichiers dont le nom possède 2600 caractères.

Cependant, VSAPI stocke les noms de fichiers dans un tableau de 512 caractères, sans vérifier la taille. Un attaquant peut donc créer une archive ARJ contenant des fichiers dont le nom provoque un débordement.

Cette vulnérabilité permet ainsi à un attaquant distant de faire exécuter du code sur l'antivirus.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability alert CVE-2005-0218

Antivirus : absence de vérification des données intégrées à un uri

Synthesis of the vulnerability

Lorsque les données sont intégrées à un uri, plusieurs antivirus ne les scannent pas.
Impacted products: FW-1, ClamAV, Mandriva Linux, GroupShield, VirusScan, Sophos AV, InterScan VirusWall.
Severity: 2/4.
Consequences: data flow.
Provenance: internet server.
Creation date: 11/01/2005.
Revisions dates: 12/01/2005, 13/01/2005, 17/01/2005.
Identifiers: BID-12269, CVE-2005-0218, MDKSA-2005:025, V6-AVURIDATABYPASS, VIGILANCE-VUL-4636.

Description of the vulnerability

La RFC 2397 définit le schéma "data" permettant d'intégrer les données dans l'uri, généralement encodées en base64. Par exemple :
  data:image/gif;base64,gAARXhpZaZ==

Ainsi, un document HTML peut contenir une image :
  [img src="data:..."]
ou un lien :
  [a href="data:..."]

Les navigateurs Mozilla, Firefox, Safari et Opera supportent cette RFC. Le navigateur Internet Explorer ne l'implémente pas.

Plusieurs antivirus ne supportent pas cette fonctionnalité.

Un attaquant peut donc créer un document HTML contenant un uri illicite. Les données qu'il indique ne seront pas détectées par ces antivirus.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability announce 2297

Déni de service par des fichiers compressés

Synthesis of the vulnerability

En envoyant des fichiers compressés au serveur de messagerie, l'attaquant distant peut mener un déni de service sur l'antivirus.
Impacted products: F-PROT AV, Kaspersky AV, VirusScan, Norton Antivirus, Sophos AV, SWS, InterScan VirusWall.
Severity: 2/4.
Consequences: denial of service on service.
Provenance: internet server.
Creation date: 26/02/2002.
Revisions dates: 27/02/2002, 12/01/2004, 09/02/2004, 28/06/2004.
Identifiers: BID-10537, BID-9393, V6-ANTIVIRUSMAILBIGFILEDOS, VIGILANCE-VUL-2297.

Description of the vulnerability

Dans la plupart des architectures sécurisées, un antivirus est associé au serveur de messagerie. Celui-ci scanne le contenu des e-mails reçus et envoyés. Les fichiers compressés (zip, rar, tar.gz, tgz, bz2, etc.) suivent un chemin particulier:
 - ils sont décompressés dans une zone de quarantaine,
 - leur contenu est vérifié,
Si aucun virus n'est détecté, l'antivirus valide le fichier et traite l'email suivant.

Cependant, une erreur de conception a été découverte sur la plupart des antivirus. En effet, lorsqu'ils décompressent des fichiers compressés, aucune vérification de la taille des fichiers n'est effectuée.

Ainsi, un attaquant distant peut :
 - créer un fichier volumineux contenant des données fortement compressibles (1 pour 1000),
 - compresser ce fichier,
 - envoyer ce fichier par e-mail.
Lorsque le serveur reçoit l'email, l'antivirus utilise une partie des ressources CPU pour le décompresser, ainsi qu'une quantité importante d'espace disque.

L'attaquant peut donc mener un déni de service à deux niveaux sur le serveur associé à l'antivirus: utilisation importante du CPU et de l'espace disque.
Full Vigil@nce bulletin... (Free trial)

computer vulnerability note CVE-2004-1859

Lecture de fichiers par InterScan WebManager

Synthesis of the vulnerability

Un attaquant peut utiliser le serveur web de InterScan WebManager pour lire les fichiers présents sur la machine.
Impacted products: InterScan VirusWall.
Severity: 2/4.
Consequences: data reading.
Provenance: intranet client.
Creation date: 25/03/2004.
Revision date: 06/04/2004.
Identifiers: BID-9966, BID-9977, CVE-2004-1859, V6-VWALLISHTTPDLOCAWEB, VIGILANCE-VUL-4079.

Description of the vulnerability

Le produit InterScan WebManager dispose d'une fonctionnalité TeleWindow affichant des informations sur le téléchargement en cours.

Lorsque TeleWindow est activé, l'url suivante devient valide :
  http://serveur/ishttpd/localweb/java/telewind.zip

Cependant, ce serveur web ne vérifie pas si le chemin contient "../". Un attaquant peut donc l'employer pour remonter dans l'arborescence et télécharger les fichiers du système.

Cette vulnérabilité permet ainsi à un attaquant de lire les fichiers présents sur la machine.
Full Vigil@nce bulletin... (Free trial)

vulnerability alert 3971

Analyse incorrecte des fichiers UPX

Synthesis of the vulnerability

Un attaquant distant peut créer un fichier UPX illicite, qui ne sera pas analysé par la majorité des anti-virus.
Impacted products: F-PROT AV, F-Secure AV, AVG AntiVirus, Kaspersky AV, VirusScan, Norton Antivirus, Sophos AV, InterScan VirusWall, ScanMail.
Severity: 2/4.
Consequences: data flow.
Provenance: internet server.
Creation date: 23/01/2004.
Identifiers: V6-AVMULUPX, VIGILANCE-VUL-3971.

Description of the vulnerability

Le format UPX (Ultimate Packer for eXecutables) permet de compresser un programme et de le décompresser avant son exécution.

Il a été annoncé que la majorité des anti-virus ne savait pas reconnaître un fichier UPX spécialement construit. Un attaquant distant peut donc créer un virus et le compresser en UPX, afin qu'il ne soit pas détecté par les anti-virus. L'utilisateur, alors en confiance, peut décider de l'exécuter.

La liste exacte des anti-virus concernés n'est pas connue.
Full Vigil@nce bulletin... (Free trial)
Our database contains other pages. You can request a free trial to read them.