c.m.g
09-02-2009, 14:32
09 febbraio 2009
La società di sicurezza Secunia (http://secunia.com/) riporta un advisory (SA33867 (http://secunia.com/advisories/33867/)) in cui si spiega che è stata trovata una vulnerabilità in Trend Micro InterScan Web Security Suite, giudicata dalla stessa come Less critical, che può essere sfruttata da malintenzionati per bypassare alcune restrizioni di sicurezza.
La vulnerabilità risiederebbe in un errore di controllo d'accesso a più pagine JSP che può essere sfruttato per modificare alcuni valori di configurazioni come, ad esempio, creare un account amministratore.
Per sfruttare a pieno questa falla da parte di malintenzionati, si necessita di credenziali "Auditor" o "Report Only".
Il bug è stato confermato nella versione 3.1 (Trend Micro InterScan Web Security Suite for Windows 3.x).
Soluzione:
Applicare la patch rilasciata dalla casa produttrice a questo indirizzo:
http://www.trendmicro.com/ftp/products/patches/iwss_31_win_en_cp1237.zip
Falla scoperta da:
Julien Cayssol
Advisory d'origine:
Trend Micro:
http://www.trendmicro.com/ftp/documentation/readme/iwss_31_win_en_readme_CP_1237_EN.txt
Fonte: Secunia (http://secunia.com/advisories/33867/)
La società di sicurezza Secunia (http://secunia.com/) riporta un advisory (SA33867 (http://secunia.com/advisories/33867/)) in cui si spiega che è stata trovata una vulnerabilità in Trend Micro InterScan Web Security Suite, giudicata dalla stessa come Less critical, che può essere sfruttata da malintenzionati per bypassare alcune restrizioni di sicurezza.
La vulnerabilità risiederebbe in un errore di controllo d'accesso a più pagine JSP che può essere sfruttato per modificare alcuni valori di configurazioni come, ad esempio, creare un account amministratore.
Per sfruttare a pieno questa falla da parte di malintenzionati, si necessita di credenziali "Auditor" o "Report Only".
Il bug è stato confermato nella versione 3.1 (Trend Micro InterScan Web Security Suite for Windows 3.x).
Soluzione:
Applicare la patch rilasciata dalla casa produttrice a questo indirizzo:
http://www.trendmicro.com/ftp/products/patches/iwss_31_win_en_cp1237.zip
Falla scoperta da:
Julien Cayssol
Advisory d'origine:
Trend Micro:
http://www.trendmicro.com/ftp/documentation/readme/iwss_31_win_en_readme_CP_1237_EN.txt
Fonte: Secunia (http://secunia.com/advisories/33867/)