Security Lab

Обход аутентификации в продуктах Trend Micro

Дата публикации:25.08.2008
Всего просмотров:1500
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Брут-форс атака
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Trend Micro Client Server Messaging Security for SMB 3.x
Trend Micro OfficeScan Corporate Edition 7.x
Trend Micro OfficeScan Corporate Edition 8.x
Trend Micro Worry-Free Business Security 5.x
Уязвимые версии:
Trend Micro Client Server Messaging Security for SMB 3.x
Trend Micro OfficeScan Corporate Edition 7.x
Trend Micro OfficeScan Corporate Edition 8.x
Trend Micro Worry-Free Business Security 5.x

Описание:
Обнаруженная уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности и произвести брут-форс атаку.

Уязвимость существует из-за недостаточной рандомизации сессионных токенов, использующихся для идентификации аутентифицированного менеджера в Web консоли. Удаленный пользователь может угадать аутентификационный токен и выступить вместо авторизованного менеджера.

URL производителя: www.trendmicro.com

Решение: Установите исправление с сайта производителя.

Trend Micro OfficeScan 8.0 Service Pack 1:
http://www.trendmicro.com/ftp/product....0_SP1_Win_EN_CriticalPatch_B2402.exe

Trend Micro OfficeScan 8.0:
http://www.trendmicro.com/ftp/product...CE_8.0_Win_EN_CriticalPatch_B1351.exe

Trend Micro OfficeScan 8.0 Service Pack 1 Patch 1:
http://www.trendmicro.com/ftp/product...Patch1_Win_EN_CriticalPatch_B3037.exe

Worry-Free Business Security 5.0:
http://www.trendmicro.com/ftp/product...FBS_50_WIN_EN_CriticalPatch_B1404.exe

Ссылки: Secunia Research: Trend Micro Products Web Management Authentication Bypass

http://www.trendmicro.com/ftp/documentation/readme/OSCE_8.0_SP1_Win_EN_CriticalPatch_B2402_readme.txt
http://www.trendmicro.com/ftp/documentation/readme/Readme_WFBS5%200_EN_CriticalPatch1404.txt