Risque
Contournement des mécanismes de protection des anti-virus pour passerelles de messagerie.
Systèmes affectés
- InterScan VirusWall Trend Micro versions antérieures à la 3.52 ;
- MailSweeper Clearswift ;
- Mimedefang Roaring Penguin versions antérieures à la 2.21.
Résumé
Un utilisateur mal intentionné peut contourner la protection offerte par les anti-virus pour passerelles de messagerie en fragmentant, lors de l'envoi, des fichiers à risque.
Description
Différents logiciels de messagerie sont compatibles avec la RFC 2046 qui permet d'envoyer des messages volumineux en les fragmentant.
Cette fragmentation est transparente pour l'utilisateur, le message étant automatiquement reconstitué par le client de messagerie.
Plusieurs scanners de messagerie analysent les messages fragmentés sans les reconstituer et sont donc susceptibles de ne pas intercepter les messages ayant une charge virale.
Solution
- Télécharger InterScan VirusWall Trend Micro 3.52 pour Microsoft Windows :
ftp://ftp-download.trendmicro.com.ph/Gateway/ISNT/3.52/Hotfix_build1494_v352_Smtp_case6593.zip
- MailSweeper Clearswif :
Mettre en place une analyse lexicale du champ Content-Type (pour plus de détails se référer au bulletin du constructeur, Cf Section Documentation)
- Mimedefang Roaring Penguin :
Appliquer la version 2.21 (Cf Section Documentation)
Documentation
- InterScan VirusWall Trend Micro :
http://securityresponse.symantec.com/avcenter/security/Content/2002.09.10.html
- MailSweeper Clearswif :
http://www.mimesweeper.com/support/threatlab/message.asp
- Mimedefang Roaring Penguin :
http://www.roarinpenguin.com/mimedefang
