Avisos 02 de October, 2012

Vulnerabilitat de injecció SQL al Panel de Control de Trend Micro

 

El fabricant de solucions antivirus Trend Micro ha publicat actualitzacions per solucionar una vulnerabilitat d'injecció de tipus sql cega (blind sql injection) en el seu producte per la gestió centralitzada de la seguretat, Trend Micro Control Manager.

 

Impacte
 
 
Execució de sentències SQL, extracció d'informació de la base de dades.
 
 
 
Productes afectats
 
  • Trend Micro Control Manager versió 5.5
  • Trend Micro Control Manager versió 6.0
 
 
Solució
 
Aplicar els pegats que el fabricant ha publicat a la web oficial per solucionar les vulnerabilitats:
 
  • Critical Patch - Build 1823 per a Trend Micro Control Manager 6.0.
  • Critical Patch - Build 1449 per a Trend Micro Control Manager 5.5.
 
 
Detall
 
La vulnerabilitat de tipus injecció SQL cega, permet a un atacant executar comandes SQL al servidor de base de dades de Trend Micro Control Manager. Encara que el atacant no pot obtenir directament la resposta a la consulta SQL, pot extreure informació mitjançant l'observació de canvis en la resposta segons el resultat de la sentència injectada.
 
La vulnerabilitat resideix en el mòdul de consultes "ad hoc", i podria ser explotable de forma remota per un atacant sense necessitat d'autenticació, sempre que tingui accés a la interfície web d'administració.
 
L'identificador CVE de la vulnerabilitat és CVE-2012-2998.
 
 
 
Referències
 
  • Informació sobre la vulnerabilitat a la pàgina web de Trend Micro.
http://www.trendmicro.com/ftp/documentation/readme/readme_critical_patch_TMCM55_1823.txt
http://www.trendmicro.com/ftp/documentation/readme/readme_critical_patch_tmcm60_patch1_1449.txt
  • Pegats crítics per descarregar a la pàgina web de Trend Micro.
http://esupport.trendmicro.com/solution/en-us/1061043.aspx
  • Avís de seguretat de US-CERT
http://www.kb.cert.org/vuls/id/950795
Publicat a: Avisos