L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Trend Micro InterScan Web Security Suite

bulletin de vulnérabilité 11103

Trend Micro InterScan Web Security Suite : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant local peut employer le programme patchCmd de Trendmicro InterScan Web Security Suite, afin d'obtenir les privilèges root.
Produits concernés : InterScan Web Security Suite.
Gravité : 2/4.
Date création : 27/10/2011.
Références : BID-50380, VIGILANCE-VUL-11103.

Description de la vulnérabilité

Le produit Trend Micro InterScan Web Security Suite installe l'utilitaire /opt/trend/iwss/data/patch/bin/patchCmd qui permet de patcher et dépatcher (retour arrière) un programme. L'utilitaire patchCmd est installé suid root.

Cet utilitaire appelle les scripts shell "./PatchExe.sh" et "./RollbackExe.sh". Cependant, ces scripts sont exécutés depuis le répertoire courant. Si l'attaquant a créé un programme illicite portant ces noms et situés dans le répertoire courant, ils sont alors exécutés avec les droits root.

Un attaquant local peut donc employer le programme patchCmd de Trend Micro InterScan Web Security Suite, afin d'obtenir les privilèges root.
Bulletin Vigil@nce complet.... (essai gratuit)

alerte de vulnérabilité informatique 9726

Trend Micro InterScan Web Security : cinq vulnérabilités

Synthèse de la vulnérabilité

Cinq vulnérabilités de Trend Micro InterScan Web Security Virtual Appliance permettent à un attaquant de lire/modifier des informations ou d'exécuter du code.
Produits concernés : InterScan Web Security Suite.
Gravité : 3/4.
Date création : 23/06/2010.
Date révision : 02/07/2010.
Références : BID-41039, BID-41072, BID-41296, CYBSEC Advisory#2010-0604, CYBSEC Advisory#2010-0605, CYBSEC Advisory#2010-0606, CYBSEC Advisory#2010-0701, VIGILANCE-VUL-9726.

Description de la vulnérabilité

Cinq vulnérabilités ont été annoncées dans Trend Micro InterScan Web Security Virtual Appliance.

Un attaquant peut employer un Cross Site Request Forgery pour modifier les règles ou ajouter un administrateur. [grav:3/4; BID-41039]

Un attaquant local peut employer uihelper pour exécuter des commandes en tant que root. [grav:2/4; BID-41072, CYBSEC Advisory#2010-0604]

Un attaquant peut employer com.trend.iwss.gui.servlet.XMLRPCcert pour déposer un fichier sur le serveur. [grav:3/4; BID-41072, CYBSEC Advisory#2010-0605]

Un attaquant peut employer com.trend.iwss.gui.servlet.exportreport pour lire un fichier. [grav:3/4; BID-41072, CYBSEC Advisory#2010-0606]

Un attaquant peut employer les paramètres "desc", "metrics__notify_body" ou "metrics__notify_subject", afin de mener un Cross Site Scripting. [grav:2/4; CYBSEC Advisory#2010-0701]
Bulletin Vigil@nce complet.... (essai gratuit)

bulletin de vulnérabilité 8683

Trend Micro : contournement via RAR, CAB et ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Produits concernés : Trend Micro Internet Security, InterScan Messaging Security Suite, InterScan Web Security Suite, ScanMail, Trend Micro ServerProtect.
Gravité : 2/4.
Date création : 30/04/2009.
Références : BID-34763, TZO-17-2009, VIGILANCE-VUL-8683.

Description de la vulnérabilité

Les produits Trend Micro détectent les virus contenus dans les archives RAR, CAB et ZIP.

Cependant, un attaquant peut créer une archive légèrement malformée, qui peut toujours être ouverte par les outils Unrar/Unzip, mais que l'antivirus ne peut pas ouvrir.

Selon les produits Trend Micro, ces archives sont alors gérées de trois manières.

OfficeScan et ServerProtect détectent le virus lorsque Unrar/Unzip extrait l'archive sur le poste client. Ces produits sont donc vulnérables s'ils sont installés sur un serveur de scan. [grav:2/4]

InterScan Web Security Suite et InterScan Messaging Security mettent le fichier en quarantaine par défaut. Ces produits sont vulnérables si l'administrateur a modifié la configuration par défaut. [grav:2/4]

ScanMail laisse transister l'archive sans indiquer qu'elle contient potentiellement un virus. Ce produit est vulnérable dans la configuration par défaut. [grav:2/4]

Un attaquant peut donc créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Bulletin Vigil@nce complet.... (essai gratuit)

annonce de vulnérabilité informatique CVE-2009-0612

InterScan Web Security Suite : obtention du mot de passe

Synthèse de la vulnérabilité

Lorsqu'une authentification est configurée pour Trend Micro InterScan Web Security Suite, un attaquant peut obtenir le login et le mot de passe de l'utilisateur.
Produits concernés : InterScan Web Security Suite.
Gravité : 2/4.
Date création : 10/02/2009.
Références : BID-33687, CVE-2009-0612, VIGILANCE-VUL-8457.

Description de la vulnérabilité

Le produit Trend Micro IWSS (InterScan Web Security Suite) filtre les accès web des utilisateurs.

Une authentification basique peut être configurée pour accéder à ce service. Dans ce cas, le navigateur web de l'utilisateur envoie une requête HTTP contenant le login et le mot de passe encodés en base64 :
  Proxy-Authorization: Basic login-password-encode
Ensuite, IWSS supprime cet entête et envoie la requête HTTP vers le serveur distant. Le serveur reçoit donc une requête ne contenant pas le login et le mot de passe d'accès au proxy.

Cependant, le logiciel Windows Media Player utilise l'entête suivant :
  Proxy-Authorization: basic login-password-encode
On peut noter que le mot "basic" ne commence pas par une majuscule. Dans ce cas, IWSS ne supprime pas l'entête avant de l'envoyer vers le serveur distant.

Un attaquant peut donc créer une page web contenant un document multimédia, et inviter la victime à le consulter. Le serveur web de l'attaquant recevra alors le login et le mot de passe du proxy IWSS de la victime.
Bulletin Vigil@nce complet.... (essai gratuit)

avis de vulnérabilité CVE-2009-0613

InterScan Web Security Suite : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant local peut modifier la configuration de Trend Micro InterScan Web Security Suite.
Produits concernés : InterScan Web Security Suite.
Gravité : 1/4.
Date création : 09/02/2009.
Références : BID-33679, CVE-2009-0613, VIGILANCE-VUL-8454.

Description de la vulnérabilité

Trois niveaux d'accès sont définis pour Trend Micro IWSS (InterScan Web Security Suite) :
 - Full access : privilèges complets
 - Auditor : l'utilisateur peut voir la configuration, les logs et générer des rapports
 - Reports only : l'utilisateur peut générer des rapports

Une vulnérabilité permet à un attaquant avec un niveau d'accès "Auditor" ou "Report only" d'obtenir les privilèges complets. Les détails techniques ne sont pas connus.

Un attaquant local peut donc modifier la configuration de Trend Micro InterScan Web Security Suite.
Bulletin Vigil@nce complet.... (essai gratuit)

vulnérabilité informatique CVE-2007-4277

Trend Micro AntiVirus scan engine : débordement de buffer dansTmxpflt.sys

Synthèse de la vulnérabilité

Un attaquant local peut exécuter du code sur le système en exploitant un débordement de buffer de Trend Micro AntiVirus scan engine.
Produits concernés : Trend Micro Internet Security, InterScan Messaging Security Suite, InterScan Web Security Suite, ScanMail, Trend Micro ServerProtect.
Gravité : 2/4.
Date création : 26/10/2007.
Références : 1036190, CERTA-2007-AVI-456, CVE-2007-4277, VIGILANCE-VUL-7285.

Description de la vulnérabilité

Les produits Trend Micro utilisent un moteur de détection des virus nommé Trend Micro AntiVirus scan engine. Ce moteur utilise des filtres définis par le module Tmfilter.sys sous Windows.

Les permissions sur ce module donnent les droits d'écriture à tous les utilisateurs, et aucun contrôle sur les données passées en paramètre dans l'IOCTL 0xa0284403 n'est effectué. Un attaquant local peut donc exploiter ce module pour provoquer un débordement de buffer dans Trend Micro AntiVirus scan engine.

Un attaquant local peut donc exécuter du code avec les droits SYSTEM sur la machine.
Bulletin Vigil@nce complet.... (essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Trend Micro InterScan Web Security Suite :