L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de InterScan Web Security Suite

avis de vulnérabilité CVE-2017-11396

Trend Micro InterScan Web Security : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Trend Micro InterScan Web Security, afin de faire exécuter un code machine arbitraire.
Produits concernés : InterScan Web Security Suite.
Gravité : 2/4.
Conséquences : accès/droits privilégié, déni de service du service.
Provenance : document.
Date création : 23/05/2017.
Références : 1117412, CVE-2017-11396, JVNVU#90447827, VIGILANCE-VUL-22804.

Description de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Trend Micro InterScan Web Security, afin de faire exécuter un code machine arbitraire.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2016-6340 CVE-2017-6338 CVE-2017-6339

Trend Micro InterScan Web Security Suite : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Trend Micro InterScan Web Security Suite de type injection de code, lecture d'information, augmentation de privilèges et XSS persistant.
Produits concernés : InterScan Web Security Suite.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits client, lecture de données, déni de service du service.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 29/03/2017.
Dates révisions : 30/03/2017, 31/03/2017, 03/04/2017.
Références : 1116960, CVE-2016-6340, CVE-2017-6338, CVE-2017-6339, VIGILANCE-VUL-22281, ZDI-17-193, ZDI-17-194, ZDI-17-195, ZDI-17-196, ZDI-17-197, ZDI-17-198, ZDI-17-199, ZDI-17-200, ZDI-17-201, ZDI-17-202, ZDI-17-203, ZDI-17-204, ZDI-17-205, ZDI-17-206, ZDI-17-207, ZDI-17-208, ZDI-17-209, ZDI-17-210, ZDI-17-211, ZDI-17-212, ZDI-17-213, ZDI-17-214, ZDI-17-215, ZDI-17-216, ZDI-17-217, ZDI-17-218, ZDI-17-219, ZDI-17-220, ZDI-17-221, ZDI-17-222, ZDI-17-223, ZDI-17-224, ZDI-17-225, ZDI-17-226, ZDI-17-227, ZDI-17-228, ZDI-17-229, ZDI-17-230, ZDI-17-231, ZDI-17-232, ZDI-17-233.

Description de la vulnérabilité

Un attaquant peut employer au moins 43 vulnérabilités de Trend Micro InterScan Web Security Suite de type injection de code, lecture d'information, augmentation de privilèges et XSS persistant.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2016-9269 CVE-2016-9314 CVE-2016-9315

Trend Micro InterScan Web Security Suite : six vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Trend Micro InterScan Web Security Suite.
Produits concernés : InterScan Web Security Suite.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits privilégié, création/modification de données.
Provenance : client internet.
Nombre de vulnérabilités dans ce bulletin : 6.
Date création : 16/02/2017.
Date révision : 27/02/2017.
Références : CVE-2016-9269, CVE-2016-9314, CVE-2016-9315, CVE-2016-9316, VIGILANCE-VUL-21870.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Trend Micro InterScan Web Security Suite.

Un attaquant authentifié peut uploader un fichier malveillant via ConfigBackup, afin par exemple de déposer un Cheval de Troie. [grav:3/4; CVE-2016-9314]

Un attaquant authentifié peut utiliser la page updateaccountadministration, afin d'obtenir les privilèges d'administration. [grav:3/4; CVE-2016-9315]

Un attaquant authentifié peut restaurer une sauvegarde modifiée de la configuration du système, afin d'obtenir les privilèges de root sur le système Linux sous-jacent. [grav:3/4; CVE-2016-9314]

Un attaquant peut provoquer un Cross Site Scripting persistant, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; CVE-2016-9316]

Un attaquant peut contourner les mesures de sécurité via ManagePatches, afin d'élever ses privilèges. [grav:2/4; CVE-2016-9269]

Un attaquant peut utiliser une vulnérabilité via saveCert.imss, afin d'exécuter du code. [grav:2/4]
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité 19684

Trend Micro InterScan Web Security Virtual Appliance : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Trend Micro InterScan Web Security Virtual Appliance.
Produits concernés : InterScan Web Security Suite.
Gravité : 3/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : client intranet.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 23/05/2016.
Références : VIGILANCE-VUL-19684, ZDI-16-348, ZDI-16-349, ZDI-16-350, ZDI-16-351.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Trend Micro InterScan Web Security Virtual Appliance.

Un attaquant peut utiliser une vulnérabilité via ManagePatches, afin d'exécuter du code. [grav:3/4; ZDI-16-348]

Un attaquant peut utiliser une vulnérabilité via /rest/testConfiguration, afin d'exécuter du code. [grav:3/4; ZDI-16-349]

Un attaquant peut utiliser une vulnérabilité via /rest/wmi_domain_controllers, afin d'exécuter du code. [grav:3/4; ZDI-16-350]

Un attaquant peut utiliser une vulnérabilité via /rest/domains, afin d'exécuter du code. [grav:3/4; ZDI-16-351]
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2014-8510

Trend Micro InterScan Web Security : lecture de fichier via AdminUI

Synthèse de la vulnérabilité

Un attaquant peut lire des fichiers du serveur via l'inteface Web d'administration de Trend Micro InterScan Web Security, afin d'obtenir des informations sensibles.
Produits concernés : InterScan Web Security Suite.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 07/11/2014.
Références : CVE-2014-8510, VIGILANCE-VUL-15610, ZDI-14-373.

Description de la vulnérabilité

Le produit Trend Micro InterScan Web Security dispose d'une interface web d'administration.

Cependant, un utilisateur authentifié peut insérer des chemins de fichiers dans les champs de l'IHM, afin d'obtenir le contenu de tout fichier accessible au serveur Web.

Un attaquant peut donc lire des fichiers du serveur via l'inteface Web d'administration de Trend Micro InterScan Web Security, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2014-0224

OpenSSL : man in the middle via ChangeCipherSpec

Synthèse de la vulnérabilité

Un attaquant peut se placer en man in the middle entre un serveur et un client utilisant OpenSSL, afin de lire ou modifier les données échangées.
Produits concernés : ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, GAiA, CheckPoint IP Appliance, IPSO, Provider-1, SecurePlatform, CheckPoint Security Appliance, CheckPoint Security Gateway, Cisco ASR, Cisco ATA, Cisco ACE, ASA, AsyncOS, Cisco Catalyst, CiscoWorks, Cisco Content SMA, Cisco CSS, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Cisco IPS, IronPort Email, IronPort Management, IronPort Web, Nexus par Cisco, NX-OS, Prime Collaboration Assurance, Prime Collaboration Manager, Prime Infrastructure, Cisco PRSM, Cisco Router, Secure ACS, Cisco CUCM, Cisco Manager Attendant Console, Cisco Unified CCX, Cisco IP Phone, Cisco MeetingPlace, Cisco Wireless IP Phone, Cisco Unity ~ précis, WebNS, Cisco WSA, Clearswift Web Gateway, Debian, Avamar, EMC CAVA, EMC CEE, EMC CEPA, Celerra FAST, Celerra NS, Celerra NX4, EMC CMDCE, Connectrix Switch, ECC, NetWorker, PowerPath, Unisphere EMC, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiClient, FortiManager, FortiManager Virtual Appliance, FreeBSD, HP Operations, ProCurve Switch, HP Switch, HP-UX, AIX, Tivoli Storage Manager, WebSphere MQ, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper UAC, McAfee Web Gateway, MySQL Enterprise, NetBSD, OpenBSD, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Solaris, Polycom CMA, HDX, RealPresence Collaboration Server, Polycom VBP, RHEL, JBoss EAP par Red Hat, ACE Agent, ACE Server, RSA Authentication Agent, RSA Authentication Manager, SecurID, ROS, ROX, RuggedSwitch, SIMATIC, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Nessus, InterScan Messaging Security Suite, InterScan Web Security Suite, TrendMicro ServerProtect, Ubuntu, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, Websense Email Security, Websense Web Filter, Websense Web Security.
Gravité : 3/4.
Conséquences : lecture de données, création/modification de données, transit de données.
Provenance : document.
Date création : 05/06/2014.
Date révision : 05/06/2014.
Références : 1676496, 1690827, aid-06062014, c04336637, c04347622, c04363613, CERTFR-2014-AVI-253, CERTFR-2014-AVI-254, CERTFR-2014-AVI-255, CERTFR-2014-AVI-260, CERTFR-2014-AVI-274, CERTFR-2014-AVI-279, CERTFR-2014-AVI-286, CERTFR-2014-AVI-513, cisco-sa-20140605-openssl, cpuoct2016, CTX140876, CVE-2014-0224, DOC-53313, DSA-2950-1, DSA-2950-2, FEDORA-2014-17576, FEDORA-2014-17587, FEDORA-2014-7101, FEDORA-2014-7102, FG-IR-14-018, FreeBSD-SA-14:14.openssl, HPSBHF03052, HPSBUX03046, JSA10629, MDVSA-2014:105, MDVSA-2014:106, MDVSA-2015:062, NetBSD-SA2014-006, openSUSE-SU-2014:0764-1, openSUSE-SU-2014:0765-1, openSUSE-SU-2015:0229-1, openSUSE-SU-2016:0640-1, RHSA-2014:0624-01, RHSA-2014:0625-01, RHSA-2014:0626-01, RHSA-2014:0627-01, RHSA-2014:0628-01, RHSA-2014:0629-01, RHSA-2014:0630-01, RHSA-2014:0631-01, RHSA-2014:0632-01, RHSA-2014:0633-01, RHSA-2014:0679-01, RHSA-2014:0680-01, SA40006, SA80, SB10075, sk101186, SOL15325, SPL-85063, SSA:2014-156-03, SSA-234763, SSRT101590, SUSE-SU-2014:0759-1, SUSE-SU-2014:0759-2, SUSE-SU-2014:0761-1, SUSE-SU-2014:0762-1, USN-2232-1, USN-2232-2, USN-2232-3, USN-2232-4, VIGILANCE-VUL-14844, VMSA-2014-0006, VMSA-2014-0006.1, VMSA-2014-0006.10, VMSA-2014-0006.11, VMSA-2014-0006.2, VMSA-2014-0006.3, VMSA-2014-0006.4, VMSA-2014-0006.5, VMSA-2014-0006.6, VMSA-2014-0006.7, VMSA-2014-0006.8, VMSA-2014-0006.9, VU#978508.

Description de la vulnérabilité

Le produit OpenSSL implémente SSL/TLS, qui utilise un handshake.

Cependant, en utilisant un handshake utilisant un message ChangeCipherSpec, un attaquant peut forcer l'utilisation de clés faibles.

Un attaquant peut donc se placer en man in the middle entre un serveur et un client utilisant OpenSSL, afin de lire ou modifier les données échangées.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 11103

Trend Micro InterScan Web Security Suite : élévation de privilèges

Synthèse de la vulnérabilité

Un attaquant local peut employer le programme patchCmd de Trendmicro InterScan Web Security Suite, afin d'obtenir les privilèges root.
Produits concernés : InterScan Web Security Suite.
Gravité : 2/4.
Conséquences : accès/droits administrateur.
Provenance : shell utilisateur.
Date création : 27/10/2011.
Références : BID-50380, VIGILANCE-VUL-11103.

Description de la vulnérabilité

Le produit Trend Micro InterScan Web Security Suite installe l'utilitaire /opt/trend/iwss/data/patch/bin/patchCmd qui permet de patcher et dépatcher (retour arrière) un programme. L'utilitaire patchCmd est installé suid root.

Cet utilitaire appelle les scripts shell "./PatchExe.sh" et "./RollbackExe.sh". Cependant, ces scripts sont exécutés depuis le répertoire courant. Si l'attaquant a créé un programme illicite portant ces noms et situés dans le répertoire courant, ils sont alors exécutés avec les droits root.

Un attaquant local peut donc employer le programme patchCmd de Trend Micro InterScan Web Security Suite, afin d'obtenir les privilèges root.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique 9726

Trend Micro InterScan Web Security : cinq vulnérabilités

Synthèse de la vulnérabilité

Cinq vulnérabilités de Trend Micro InterScan Web Security Virtual Appliance permettent à un attaquant de lire/modifier des informations ou d'exécuter du code.
Produits concernés : InterScan Web Security Suite.
Gravité : 3/4.
Conséquences : accès/droits administrateur, accès/droits utilisateur, lecture de données, création/modification de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 5.
Date création : 23/06/2010.
Date révision : 02/07/2010.
Références : BID-41039, BID-41072, BID-41296, CYBSEC Advisory#2010-0604, CYBSEC Advisory#2010-0605, CYBSEC Advisory#2010-0606, CYBSEC Advisory#2010-0701, VIGILANCE-VUL-9726.

Description de la vulnérabilité

Cinq vulnérabilités ont été annoncées dans Trend Micro InterScan Web Security Virtual Appliance.

Un attaquant peut employer un Cross Site Request Forgery pour modifier les règles ou ajouter un administrateur. [grav:3/4; BID-41039]

Un attaquant local peut employer uihelper pour exécuter des commandes en tant que root. [grav:2/4; BID-41072, CYBSEC Advisory#2010-0604]

Un attaquant peut employer com.trend.iwss.gui.servlet.XMLRPCcert pour déposer un fichier sur le serveur. [grav:3/4; BID-41072, CYBSEC Advisory#2010-0605]

Un attaquant peut employer com.trend.iwss.gui.servlet.exportreport pour lire un fichier. [grav:3/4; BID-41072, CYBSEC Advisory#2010-0606]

Un attaquant peut employer les paramètres "desc", "metrics__notify_body" ou "metrics__notify_subject", afin de mener un Cross Site Scripting. [grav:2/4; CYBSEC Advisory#2010-0701]
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité 8683

Trend Micro : contournement via RAR, CAB et ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan Messaging Security Suite, InterScan Web Security Suite, ScanMail, TrendMicro ServerProtect.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 30/04/2009.
Références : BID-34763, TZO-17-2009, VIGILANCE-VUL-8683.

Description de la vulnérabilité

Les produits Trend Micro détectent les virus contenus dans les archives RAR, CAB et ZIP.

Cependant, un attaquant peut créer une archive légèrement malformée, qui peut toujours être ouverte par les outils Unrar/Unzip, mais que l'antivirus ne peut pas ouvrir.

Selon les produits Trend Micro, ces archives sont alors gérées de trois manières.

OfficeScan et ServerProtect détectent le virus lorsque Unrar/Unzip extrait l'archive sur le poste client. Ces produits sont donc vulnérables s'ils sont installés sur un serveur de scan. [grav:2/4]

InterScan Web Security Suite et InterScan Messaging Security mettent le fichier en quarantaine par défaut. Ces produits sont vulnérables si l'administrateur a modifié la configuration par défaut. [grav:2/4]

ScanMail laisse transister l'archive sans indiquer qu'elle contient potentiellement un virus. Ce produit est vulnérable dans la configuration par défaut. [grav:2/4]

Un attaquant peut donc créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2009-0612

InterScan Web Security Suite : obtention du mot de passe

Synthèse de la vulnérabilité

Lorsqu'une authentification est configurée pour Trend Micro InterScan Web Security Suite, un attaquant peut obtenir le login et le mot de passe de l'utilisateur.
Produits concernés : InterScan Web Security Suite.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur internet.
Date création : 10/02/2009.
Références : BID-33687, CVE-2009-0612, VIGILANCE-VUL-8457.

Description de la vulnérabilité

Le produit Trend Micro IWSS (InterScan Web Security Suite) filtre les accès web des utilisateurs.

Une authentification basique peut être configurée pour accéder à ce service. Dans ce cas, le navigateur web de l'utilisateur envoie une requête HTTP contenant le login et le mot de passe encodés en base64 :
  Proxy-Authorization: Basic login-password-encode
Ensuite, IWSS supprime cet entête et envoie la requête HTTP vers le serveur distant. Le serveur reçoit donc une requête ne contenant pas le login et le mot de passe d'accès au proxy.

Cependant, le logiciel Windows Media Player utilise l'entête suivant :
  Proxy-Authorization: basic login-password-encode
On peut noter que le mot "basic" ne commence pas par une majuscule. Dans ce cas, IWSS ne supprime pas l'entête avant de l'envoyer vers le serveur distant.

Un attaquant peut donc créer une page web contenant un document multimédia, et inviter la victime à le consulter. Le serveur web de l'attaquant recevra alors le login et le mot de passe du proxy IWSS de la victime.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur InterScan Web Security Suite :