CH azonosító
CH-7659Angol cím
Trend Micro Control Manager Ad Hoc Query "id" SQL Injection VulnerabilityFelfedezés dátuma
2012.09.26.Súlyosság
AlacsonyÉrintett rendszerek
Control ManagerTrend Micro
Érintett verziók
Trend Micro Control Manager (TMCM) 3.x, 5.x, 6.x
Összefoglaló
A Trend Micro Control Manager egy sérülékenységét jelentették, amit kihasználva a támadók SQL befecskendezéses (SQL injection) támadást indíthatnak.
Leírás
Az “id” paraméteren keresztül az AdHocQuery_Processor.aspx részére átadott bemeneti adat nem megfelelően van megtisztítva SQL lekérdezésben történő felhasználás előtt. Ezt kihasználva módosítani lehet az SQL lekérdezést tetszőleges SQL kód befecskendezésével.
Olvassa el a gyártó tájékoztatóját az érintett verziók listájáról!
Megoldás
Az 5.x és 6.x felhasználók telepítsék a javítást, a 3.x felhasználók frissítsenek az 5.5 vagy 6.0 verzióra, és telepítsék a javítást (a 3.x már nem támogatott verzió)!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Gyártói referencia: esupport.trendmicro.com
Egyéb referencia: jvn.jp
Egyéb referencia: jvndb.jvn.jp
Egyéb referencia: www.spentera.com
CVE-2012-2998 - NVD CVE-2012-2998
SECUNIA 50748
SECUNIA 50760