Prilikom upotrebe programskog paketa Trend Micro Control Manager uočena je nova sigurnosna ranjivost. Riječ je o centraliziranoj upravljačkoj aplikaciji namijenjenoj usklađivanju rada Trend Micro komponenti i nadzoru sigurnosti cijele mreže. Uočena ranjivost javlja se kao posljedica neispravne provjere ulaznih podataka predanih preko parametra "module" datoteci "WebApp/widget/proxy_request.php". Napadači ranjivost mogu iskoristiti za otkrivanje osjetljivih podataka. Svim se korisnicima savjetuje primjena ispravljene inačice.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-07-038
Naslov: Ranjivost programskog paketa Trend Micro Control Manager
Datum: 2011-07-19
OS: Windows
Programski paket: Trend Micro Control Manager 
Tip sigurnosnog problema: otkrivanje osjetljivih podataka
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Trend Micro Control Manager uocen je sigurnosni nedostatak.

Radi se o centraliziranoj upravljackoj aplikaciji namijenjenoj uskladjivanju rada Trend Micro komponenti i nadzoru sigurnosti na razini cjelokupne racunalne mreze, odnosno poslovne organizacije.

Za pregled vise informacija o navedenom sigurnosnom paketu preporuca se pregled 
sljedece stranice:

http://us.trendmicro.com/us/products/enterprise/control-manager/

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivost uocena u radu programskog paketa Trend Micro Control Manager napadacima
omogucuje otkrivanje osjetljivih informacija.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacicu 1470 i kontaktiranje proizvodjaca za dobivanje vise informacija.

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani preko parametra "module" datoteci WebApp/widget/proxy_request.php nisu ispravno provjereni prije koristenja za citanje datoteka. To se dogadja kada je parametar "sid" postavljen na "undefined" i kada su parametri "serverid", "SORTFIELD", "SELECTION" i "WID" postavljeni. Ranjivost se moze iskoristiti za citanje proizvoljnih datoteka iz lokalnih resursa.

Ranjivost je potvrdjena u inacici 5.5 (Build 1250), no postoji mogucnost i da ostale inacice sadrze navedeni propust. 

-------------------------------------------------------------------------------

[5]  Credit

Informacije o navedenom nedostataku otkrio je:

Sow Ching Shiong.

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________