L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de TrendMicro ServerProtect

annonce de vulnérabilité CVE-2016-7055 CVE-2017-3730 CVE-2017-3731

OpenSSL : multiples vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de OpenSSL.
Produits concernés : Blue Coat CAS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, Brocade vTM, Cisco ASR, Cisco ATA, AsyncOS, Cisco Catalyst, Cisco Content SMA, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Nexus par Cisco, NX-OS, Cisco Prime Access Registrar, Prime Collaboration Assurance, Cisco Prime DCNM, Prime Infrastructure, Cisco Router, Cisco CUCM, Cisco Manager Attendant Console, Cisco Wireless IP Phone, Cisco WSA, Cisco Wireless Controller, Debian, BIG-IP Hardware, TMOS, Fedora, FileZilla Server, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiOS, FreeBSD, hMailServer, AIX, IRAD, Rational ClearCase, Security Directory Server, Tivoli Storage Manager, Tivoli Workload Scheduler, WebSphere MQ, Copssh, Junos OS, Juniper Network Connect, NSM Central Manager, NSMXpress, SRX-Series, MariaDB ~ précis, ePO, Meinberg NTP Server, MySQL Community, MySQL Enterprise, Data ONTAP, OpenSSL, openSUSE Leap, Oracle Communications, Oracle Directory Server, Oracle Directory Services Plus, Oracle Fusion Middleware, Oracle Identity Management, Oracle iPlanet Web Server, Oracle OIT, Solaris, Tuxedo, VirtualBox, WebLogic, Oracle Web Tier, Palo Alto Firewall PA***, PAN-OS, Percona Server, XtraDB Cluster, pfSense, Pulse Connect Secure, Pulse Secure Client, RHEL, Slackware, stunnel, SUSE Linux Enterprise Desktop, SLES, Nessus, TrendMicro ServerProtect, Ubuntu, VxWorks.
Gravité : 2/4.
Date création : 26/01/2017.
Références : 1117414, 2000544, 2000988, 2000990, 2002331, 2004036, 2004940, 2009389, 2010154, 2011567, 2012827, 2014202, 2014651, 2014669, 2015080, BSA-2016-204, BSA-2016-207, BSA-2016-211, BSA-2016-212, BSA-2016-213, BSA-2016-216, BSA-2016-234, bulletinapr2017, bulletinjan2018, bulletinoct2017, CERTFR-2017-AVI-035, CERTFR-2018-AVI-343, cisco-sa-20170130-openssl, cpuapr2017, cpujan2018, cpujul2017, cpujul2018, cpuoct2017, CVE-2016-7055, CVE-2017-3730, CVE-2017-3731, CVE-2017-3732, DLA-814-1, DSA-3773-1, FEDORA-2017-3451dbec48, FEDORA-2017-e853b4144f, FG-IR-17-019, FreeBSD-SA-17:02.openssl, JSA10775, K37526132, K43570545, K44512851, K-510805, NTAP-20170127-0001, NTAP-20170310-0002, NTAP-20180201-0001, openSUSE-SU-2017:0481-1, openSUSE-SU-2017:0487-1, openSUSE-SU-2017:0527-1, openSUSE-SU-2017:0941-1, openSUSE-SU-2017:2011-1, openSUSE-SU-2017:2868-1, openSUSE-SU-2018:0458-1, PAN-70674, PAN-73914, PAN-SA-2017-0012, PAN-SA-2017-0014, PAN-SA-2017-0016, RHSA-2017:0286-01, RHSA-2018:2568-01, RHSA-2018:2575-01, SA141, SA40423, SB10188, SSA:2017-041-02, SUSE-SU-2018:0112-1, TNS-2017-03, USN-3181-1, VIGILANCE-VUL-21692.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans OpenSSL.

Un attaquant peut forcer la lecture à une adresse invalide via Truncated Packet, afin de mener un déni de service, ou d'obtenir des informations sensibles. [grav:2/4; CVE-2017-3731]

Un attaquant peut forcer le déréférencement d'un pointeur NULL via DHE/ECDHE Parameters, afin de mener un déni de service. [grav:2/4; CVE-2017-3730]

Un attaquant peut utiliser une erreur propagation de la retenue dans BN_mod_exp(), afin de calculer la clé privée. [grav:1/4; CVE-2017-3732]

Une erreur se produit dans la Broadwell-specific Montgomery Multiplication Procedure, mais sans impact apparent. [grav:1/4; CVE-2016-7055]
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2016-0736 CVE-2016-2161 CVE-2016-8743

Apache httpd : trois vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Apache httpd.
Produits concernés : Apache httpd, Mac OS X, Debian, BIG-IP Hardware, TMOS, Fedora, HP-UX, Junos Space, openSUSE Leap, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, TrendMicro ServerProtect, Ubuntu.
Gravité : 3/4.
Date création : 21/12/2016.
Date révision : 22/12/2016.
Références : 1117414, APPLE-SA-2017-09-25-1, CVE-2016-0736, CVE-2016-2161, CVE-2016-8743, DLA-841-1, DLA-841-2, DSA-3796-1, DSA-3796-2, FEDORA-2016-8d9b62c784, FEDORA-2016-d22f50d985, HPESBUX03725, HT207615, HT208144, HT208221, JSA10838, K00373024, openSUSE-SU-2017:0897-1, openSUSE-SU-2017:0903-1, RHSA-2017:0906-01, RHSA-2017:1721-01, SSA:2016-358-01, SUSE-SU-2018:2554-1, USN-3279-1, USN-3373-1, VIGILANCE-VUL-21434.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Apache httpd.

Un attaquant peut manipuler les données de session chiffrées pour obtenir des informations sur leur valeur en clair. [grav:1/4; CVE-2016-0736]

Un attaquant peut provoquer une erreur fatale en faisant allouer de la mémoire partagée, afin de mener un déni de service. [grav:2/4; CVE-2016-2161]

Un attaquant peut profiter de la tolérance aux erreurs de format pour manipuler les réponses HTTP (en-têtes comme corps). [grav:3/4; CVE-2016-8743]
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2016-1000104 CVE-2016-1000105 CVE-2016-1000107

Serveurs web : création de requêtes client via l'entête Proxy

Synthèse de la vulnérabilité

Un attaquant peut envoyer une requête avec un entête Proxy malveillant vers un service web hébergeant un script CGI créant des requêtes client web, pour que ces dernières passent par le proxy de l'attaquant.
Produits concernés : Apache httpd, Tomcat, Mac OS X, Debian, Drupal Core, eZ Platform, eZ Publish, Fedora, HP-UX, QRadar SIEM, Junos Space, NSM Central Manager, NSMXpress, lighttpd, IIS, nginx, openSUSE, openSUSE Leap, Oracle Communications, Solaris, Perl Module ~ non exhaustif, PHP, Python, RHEL, Slackware, SUSE Linux Enterprise Desktop, SLES, Synology DSM, Synology DS***, Synology RS***, TrendMicro ServerProtect, TYPO3 Core, Ubuntu, Varnish.
Gravité : 3/4.
Date création : 18/07/2016.
Références : 1117414, 1994719, 1994725, 1999671, APPLE-SA-2017-09-25-1, bulletinjul2017, bulletinoct2016, c05324759, CERTFR-2016-AVI-240, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, cpujan2018, CVE-2016-1000104, CVE-2016-1000105, CVE-2016-1000107, CVE-2016-1000108, CVE-2016-1000109, CVE-2016-1000110, CVE-2016-1000111, CVE-2016-1000212, CVE-2016-5385, CVE-2016-5386, CVE-2016-5387, CVE-2016-5388, DLA-553-1, DLA-568-1, DLA-583-1, DLA-749-1, DRUPAL-SA-CORE-2016-003, DSA-3623-1, DSA-3631-1, DSA-3642-1, EZSA-2016-001, FEDORA-2016-07e9059072, FEDORA-2016-2c324d0670, FEDORA-2016-340e361b90, FEDORA-2016-4094bd4ad6, FEDORA-2016-4e7db3d437, FEDORA-2016-604616dc33, FEDORA-2016-683d0b257b, FEDORA-2016-970edb82d4, FEDORA-2016-9c8cf5912c, FEDORA-2016-9de7253cc7, FEDORA-2016-9fd814a7f2, FEDORA-2016-9fd9bfab9e, FEDORA-2016-a29c65b00f, FEDORA-2016-aef8a45afe, FEDORA-2016-c1b01b9278, FEDORA-2016-df0726ae26, FEDORA-2016-e2c8f5f95a, FEDORA-2016-ea5e284d34, HPSBUX03665, HT207615, HT208144, HT208221, httpoxy, JSA10770, JSA10774, openSUSE-SU-2016:1824-1, openSUSE-SU-2016:2054-1, openSUSE-SU-2016:2055-1, openSUSE-SU-2016:2115-1, openSUSE-SU-2016:2120-1, openSUSE-SU-2016:2252-1, openSUSE-SU-2016:2536-1, openSUSE-SU-2016:3092-1, openSUSE-SU-2016:3157-1, openSUSE-SU-2017:0223-1, RHSA-2016:1420-01, RHSA-2016:1421-01, RHSA-2016:1422-01, RHSA-2016:1538-01, RHSA-2016:1609-01, RHSA-2016:1610-01, RHSA-2016:1611-01, RHSA-2016:1612-01, RHSA-2016:1613-01, RHSA-2016:1624-01, RHSA-2016:1626-01, RHSA-2016:1627-01, RHSA-2016:1628-01, RHSA-2016:1629-01, RHSA-2016:1630-01, RHSA-2016:1635-01, RHSA-2016:1636-01, RHSA-2016:1648-01, RHSA-2016:1649-01, RHSA-2016:1650-01, RHSA-2016:1978-01, RHSA-2016:2045-01, RHSA-2016:2046-01, SSA:2016-203-02, SSA:2016-358-01, SSA:2016-363-01, SUSE-SU-2017:1632-1, SUSE-SU-2017:1660-1, USN-3038-1, USN-3045-1, USN-3134-1, USN-3177-1, USN-3177-2, USN-3585-1, VIGILANCE-VUL-20143, VU#797896.

Description de la vulnérabilité

La majorité des serveurs web supportent les scripts CGI (PHP, Python, etc.).

D'après la RFC 3875, lorsqu'un serveur web reçoit un entête Proxy, il doit créer la variable d'environnement HTTP_PROXY pour les scripts CGI.

Cependant, cette variable est aussi utilisée pour stocker le nom du proxy que les clients web doivent utiliser. Les scripts PHP (via Guzzle, Artax, etc.) ou Python vont alors utiliser le proxy indiqué dans la requête web pour toutes les requêtes clients qu'ils vont émettre dans la session CGI.

Un attaquant peut donc envoyer une requête avec un entête Proxy malveillant vers un service web hébergeant un script CGI créant des requêtes client web, pour que ces dernières passent par le proxy de l'attaquant.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité CVE-2014-0224

OpenSSL : man in the middle via ChangeCipherSpec

Synthèse de la vulnérabilité

Un attaquant peut se placer en man in the middle entre un serveur et un client utilisant OpenSSL, afin de lire ou modifier les données échangées.
Produits concernés : ArubaOS, ProxyAV, ProxySG par Blue Coat, SGOS par Blue Coat, GAiA, CheckPoint IP Appliance, IPSO, Provider-1, SecurePlatform, CheckPoint Security Appliance, CheckPoint Security Gateway, Cisco ASR, Cisco ATA, Cisco ACE, ASA, AsyncOS, Cisco Catalyst, CiscoWorks, Cisco Content SMA, Cisco CSS, Cisco ESA, IOS par Cisco, IOS XE Cisco, IOS XR Cisco, Cisco IPS, IronPort Email, IronPort Management, IronPort Web, Nexus par Cisco, NX-OS, Prime Collaboration Assurance, Prime Collaboration Manager, Prime Infrastructure, Cisco PRSM, Cisco Router, Secure ACS, Cisco CUCM, Cisco Manager Attendant Console, Cisco Unified CCX, Cisco IP Phone, Cisco MeetingPlace, Cisco Wireless IP Phone, Cisco Unity ~ précis, WebNS, Cisco WSA, MIMEsweeper, Clearswift Web Gateway, Debian, Avamar, EMC CAVA, EMC CEE, EMC CEPA, Celerra FAST, Celerra NS, Celerra NX4, EMC CMDCE, Connectrix Switch, ECC, NetWorker, PowerPath, Unisphere EMC, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiClient, FortiManager, FortiManager Virtual Appliance, FreeBSD, HP Operations, ProCurve Switch, HP Switch, HP-UX, AIX, Tivoli Storage Manager, WebSphere MQ, Juniper J-Series, Junos OS, Junos Pulse, Juniper Network Connect, Juniper UAC, MBS, MES, McAfee Web Gateway, MySQL Enterprise, NetBSD, OpenBSD, OpenSSL, openSUSE, openSUSE Leap, Oracle Communications, Solaris, Polycom CMA, HDX, RealPresence Collaboration Server, Polycom VBP, RHEL, JBoss EAP par Red Hat, ACE Agent, ACE Server, RSA Authentication Agent, RSA Authentication Manager, SecurID, ROS, ROX, RuggedSwitch, SIMATIC, Slackware, Splunk Enterprise, stunnel, SUSE Linux Enterprise Desktop, SLES, Nessus, InterScan Messaging Security Suite, InterScan Web Security Suite, TrendMicro ServerProtect, Ubuntu, ESXi, vCenter Server, VMware vSphere, VMware vSphere Hypervisor, Websense Email Security, Websense Web Filter, Websense Web Security.
Gravité : 3/4.
Date création : 05/06/2014.
Date révision : 05/06/2014.
Références : 1676496, 1690827, aid-06062014, c04336637, c04347622, c04363613, CERTFR-2014-AVI-253, CERTFR-2014-AVI-254, CERTFR-2014-AVI-255, CERTFR-2014-AVI-260, CERTFR-2014-AVI-274, CERTFR-2014-AVI-279, CERTFR-2014-AVI-286, CERTFR-2014-AVI-513, cisco-sa-20140605-openssl, cpuoct2016, CTX140876, CVE-2014-0224, DOC-53313, DSA-2950-1, DSA-2950-2, FEDORA-2014-17576, FEDORA-2014-17587, FEDORA-2014-7101, FEDORA-2014-7102, FG-IR-14-018, FreeBSD-SA-14:14.openssl, HPSBHF03052, HPSBUX03046, JSA10629, MDVSA-2014:105, MDVSA-2014:106, MDVSA-2015:062, NetBSD-SA2014-006, openSUSE-SU-2014:0764-1, openSUSE-SU-2014:0765-1, openSUSE-SU-2015:0229-1, openSUSE-SU-2016:0640-1, RHSA-2014:0624-01, RHSA-2014:0625-01, RHSA-2014:0626-01, RHSA-2014:0627-01, RHSA-2014:0628-01, RHSA-2014:0629-01, RHSA-2014:0630-01, RHSA-2014:0631-01, RHSA-2014:0632-01, RHSA-2014:0633-01, RHSA-2014:0679-01, RHSA-2014:0680-01, SA40006, SA80, SB10075, sk101186, SOL15325, SPL-85063, SSA:2014-156-03, SSA-234763, SSRT101590, SUSE-SU-2014:0759-1, SUSE-SU-2014:0759-2, SUSE-SU-2014:0761-1, SUSE-SU-2014:0762-1, USN-2232-1, USN-2232-2, USN-2232-3, USN-2232-4, VIGILANCE-VUL-14844, VMSA-2014-0006, VMSA-2014-0006.1, VMSA-2014-0006.10, VMSA-2014-0006.11, VMSA-2014-0006.2, VMSA-2014-0006.3, VMSA-2014-0006.4, VMSA-2014-0006.5, VMSA-2014-0006.6, VMSA-2014-0006.7, VMSA-2014-0006.8, VMSA-2014-0006.9, VU#978508.

Description de la vulnérabilité

Le produit OpenSSL implémente SSL/TLS, qui utilise un handshake.

Cependant, en utilisant un handshake utilisant un message ChangeCipherSpec, un attaquant peut forcer l'utilisation de clés faibles.

Un attaquant peut donc se placer en man in the middle entre un serveur et un client utilisant OpenSSL, afin de lire ou modifier les données échangées.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité 8683

Trend Micro : contournement via RAR, CAB et ZIP

Synthèse de la vulnérabilité

Un attaquant peut créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Produits concernés : TrendMicro Internet Security, InterScan Messaging Security Suite, InterScan Web Security Suite, ScanMail, TrendMicro ServerProtect.
Gravité : 2/4.
Date création : 30/04/2009.
Références : BID-34763, TZO-17-2009, VIGILANCE-VUL-8683.

Description de la vulnérabilité

Les produits Trend Micro détectent les virus contenus dans les archives RAR, CAB et ZIP.

Cependant, un attaquant peut créer une archive légèrement malformée, qui peut toujours être ouverte par les outils Unrar/Unzip, mais que l'antivirus ne peut pas ouvrir.

Selon les produits Trend Micro, ces archives sont alors gérées de trois manières.

OfficeScan et ServerProtect détectent le virus lorsque Unrar/Unzip extrait l'archive sur le poste client. Ces produits sont donc vulnérables s'ils sont installés sur un serveur de scan. [grav:2/4]

InterScan Web Security Suite et InterScan Messaging Security mettent le fichier en quarantaine par défaut. Ces produits sont vulnérables si l'administrateur a modifié la configuration par défaut. [grav:2/4]

ScanMail laisse transister l'archive sans indiquer qu'elle contient potentiellement un virus. Ce produit est vulnérable dans la configuration par défaut. [grav:2/4]

Un attaquant peut donc créer une archive RAR, CAB ou ZIP contenant un virus qui n'est pas détecté par les produits Trend Micro.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2006-5268 CVE-2006-5269 CVE-2007-0072

Trend Micro ServerProtect : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Trend Micro ServerProtect permettent à un attaquant d'exécuter du code sur la machine.
Produits concernés : TrendMicro ServerProtect.
Gravité : 3/4.
Date création : 12/11/2008.
Références : CVE-2006-5268, CVE-2006-5269, CVE-2007-0072, CVE-2007-0073, CVE-2007-0074, CVE-2008-0012, CVE-2008-0013, CVE-2008-0014, VIGILANCE-VUL-8238, VU#768681.

Description de la vulnérabilité

Plusieurs vulnérabilités de Trend Micro ServerProtect permettent à un attaquant d'exécuter du code sur la machine.

Un attaquant non authentifié peut administrer ServerProtect à distance. [grav:3/4; CVE-2006-5268]

Un attaquant peut provoquer un débordement afin d'exécuter du code. [grav:3/4; CVE-2006-5269]

Un attaquant peut provoquer trois débordements afin d'exécuter du code. [grav:3/4; CVE-2007-0072, CVE-2007-0073, CVE-2007-0074]

Un attaquant peut provoquer trois débordements afin d'exécuter du code. [grav:3/4; CVE-2008-0012, CVE-2008-0013, CVE-2008-0014]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2007-4218 CVE-2007-4219 CVE-2007-4490

Trend Micro ServerProtect : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs débordements permettent à un attaquant du réseau de faire exécuter du code sur Trend Micro ServerProtect.
Produits concernés : TrendMicro ServerProtect.
Gravité : 3/4.
Date création : 22/08/2007.
Dates révisions : 23/08/2007, 10/09/2007, 18/12/2007.
Références : BID-25395, CVE-2007-4218, CVE-2007-4219, CVE-2007-4490, CVE-2007-4731, VIGILANCE-VUL-7115, VU#109056, VU#204448, VU#959400, ZDI-07-024, ZDI-07-025, ZDI-07-050, ZDI-07-051, ZDI-07-077.

Description de la vulnérabilité

Plusieurs débordements permettent à un attaquant du réseau de faire exécuter du code sur Trend Micro ServerProtect, en utilisant les fonctions RPC accessibles via TCP.

Un attaquant peut provoquer un débordement de buffer dans la fonction NTF_SetPagerNotifyConfig() de Notification.dll. [grav:3/4; BID-25395, CVE-2007-4218, VU#109056]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_SetComputerName() de StRpcSrv.dll. [grav:3/4; BID-25395, CVE-2007-4218, VU#109056, ZDI-07-050]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_ENG_NewManualScan() de StRpcSrv.dll. [grav:3/4; BID-25395, CVE-2007-4218, VU#109056]

Un attaquant peut provoquer un débordement d'entier dans la fonction RPCFN_SYNC_TASK() de StRpcSrv.dll. [grav:3/4; BID-25395, CVE-2007-4219, VU#959400]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_ENG_TimedNewManualScan() de StRpcSrv.dll. [grav:3/4; BID-25395, CVE-2007-4218, VU#109056]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_ENG_AddTaskExportLogItem() de Eng50.dll. [grav:3/4; BID-25395, CVE-2007-4218, VU#109056]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_ENG_TakeActionOnAFile() de Eng50.dll. [grav:3/4; BID-25395, CVE-2007-4218, VU#109056]

Un attaquant peut provoquer un débordement de buffer dans la fonction CMD_CHANGE_AGENT_REGISTER_INFO() de earthagent.exe. [grav:3/4; CVE-2007-4490, VU#109056, ZDI-07-024, ZDI-07-025]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_EVENTBACK_DoHotFix() de earthagent.exe. [grav:3/4; CVE-2007-4490, VU#109056, ZDI-07-024, ZDI-07-025]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_OldCMON_SetSvcImpersonateUser() de stcommon.dll. [grav:3/4; BID-25395, CVE-2007-4218, VU#109056]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_CMON_SetSvcImpersonateUser() de stcommon.dll. [grav:3/4; BID-25395, CVE-2007-4218, VU#109056]

Un attaquant peut provoquer un débordement de buffer dans la fonction RPCFN_CopyAUSrc() du service Agent. [grav:3/4; BID-25395, CVE-2007-4218, VU#204448]

Un attaquant peut provoquer un débordement de buffer dans la fonction TMregChange() de TMReg.dll. Cette fonction est accessible via le port 5005/tcp. [grav:3/4; CVE-2007-4731, ZDI-07-051]

Un attaquant peut accéder au système via l'interface 0x65741030 de TmRpcSrv.dll (SpntSvc.exe, StRpcSrv.dll, 5168/tcp). [grav:3/4; ZDI-07-077]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2007-4277

Trend Micro AntiVirus scan engine : débordement de buffer dansTmxpflt.sys

Synthèse de la vulnérabilité

Un attaquant local peut exécuter du code sur le système en exploitant un débordement de buffer de Trend Micro AntiVirus scan engine.
Produits concernés : TrendMicro Internet Security, InterScan Messaging Security Suite, InterScan Web Security Suite, ScanMail, TrendMicro ServerProtect.
Gravité : 2/4.
Date création : 26/10/2007.
Références : 1036190, CERTA-2007-AVI-456, CVE-2007-4277, VIGILANCE-VUL-7285.

Description de la vulnérabilité

Les produits Trend Micro utilisent un moteur de détection des virus nommé Trend Micro AntiVirus scan engine. Ce moteur utilise des filtres définis par le module Tmfilter.sys sous Windows.

Les permissions sur ce module donnent les droits d'écriture à tous les utilisateurs, et aucun contrôle sur les données passées en paramètre dans l'IOCTL 0xa0284403 n'est effectué. Un attaquant local peut donc exploiter ce module pour provoquer un débordement de buffer dans Trend Micro AntiVirus scan engine.

Un attaquant local peut donc exécuter du code avec les droits SYSTEM sur la machine.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur TrendMicro ServerProtect :