VULHUB ™

BrightStor ARCserve Backup可为各种平台的服务器提供备份和恢复保护功能。 BrightStor ARCserve Backup的Mediasvr.exe进程在处理特定的RPC报文数据时存在漏洞，远程攻击者可能利用此漏洞控制服务器。 Mediasvr.exe所导入的几个dll处理通过xdr过程的RPC数据时存在设计错误。RPC报文中的4个字节被处理为特定的地址，最终被加载到ECX。带有至少8字节NULL字符的191 (0xbf)号xdr过程调用会导致漏洞的触发。 .text：0040AACD 008 mov ecx, [esp+8] .text：0040AAD1 008 mov dword_418820, esi .text：0040AAD7 008 push offset dword_418820 .text：0040AADC 00C mov eax, [ecx] .text：0040AADE 00C call dword ptr [eax+2Ch] 这时就可以控制ECX(esp+8为地址数据)。报文中的数据被储存在相对静态的内存中，地址被加载到EAX，最后从EAX+2Ch处执行，而这是报文中的可控数据，导致执行攻击者指定的任意指令。

BrightStor ARCserve Backup可为各种平台的服务器提供备份和恢复保护功能。 BrightStor ARCserve Backup的Mediasvr.exe进程在处理特定的RPC报文数据时存在漏洞，远程攻击者可能利用此漏洞控制服务器。 Mediasvr.exe所导入的几个dll处理通过xdr过程的RPC数据时存在设计错误。RPC报文中的4个字节被处理为特定的地址，最终被加载到ECX。带有至少8字节NULL字符的191 (0xbf)号xdr过程调用会导致漏洞的触发。 .text：0040AACD 008 mov ecx, [esp+8] .text：0040AAD1 008 mov dword_418820, esi .text：0040AAD7 008 push offset dword_418820 .text：0040AADC 00C mov eax, [ecx] .text：0040AADE 00C call dword ptr [eax+2Ch] 这时就可以控制ECX(esp+8为地址数据)。报文中的数据被储存在相对静态的内存中，地址被加载到EAX，最后从EAX+2Ch处执行，而这是报文中的可控数据，导致执行攻击者指定的任意指令。