|
 |
|
Trend Micro OfficeScan 8.0 Policy-Server Denial of Service
|
|
|
|
|
Secunia Advisory:
|
SA29151
|
|
|
Herausgegeben:
|
2008-02-28
|
|
Last Update:
|
2008-03-28
|
|
|
Gefahrenstufe:
|
Weniger kritisch
|
|
Auswirkung:
|
DoS
|
|
Von Wo:
|
Aus dem lokalen Netzwerk
|
|
Lösungsstatus:
|
Hersteller-Patch
|
|
| Software: | Trend Micro OfficeScan Corporate Edition 8.x
|
|
|
Want to know the next time vulnerabilities are fixed in this product?
- Companies can be alerted via email and SMS! |
|
|
Beschreibung:
Luigi Auriemma hat eine Sicherheitslücke in Trend Micro OfficeScan entdeckt, die böswillige Personen ausnutzen können, um einen DoS (Denial of Service) zu verursachen.
Die Sicherheitslücke besteht in einem Begrenzungsfehler in PolicyServer.exe und kann ausgenutzt werden, um mit einer HTTP-Anfrage an das CGI-Modul cgiABLogon.exe mit einem speziell präparierten, überlangen "pwd"-Parameter den Dienst zu beenden. Der Dienst startet nach wenigen Sekunden erneut.
Eine erfolgreiche Ausnutzung setzt voraus, dass der Trend Micro Policy Server for Cisco NAC installiert ist.
Weitere Fehler, z.B. NULL-Zeiger-Dereferenzierungfehler in bestimmten CGI-Modulen bei der Verarbeitung von HTTP-Anfragen mit bestimmte Zeichen oder ungültigen "Content-Length"-Headern wurden ebenfalls gemeldet.
Die Sicherheitslücke wurde in Version 8.0 mit Patch 2 Build 1189 bestätigt. Andere Versionen können ebenfalls betroffen sein.
Do you have this product installed on your home computer? Scan using the free Personal Software Inspector. Check if a vulnerable version is installed on computers in your corporate network, scan using the Network Software Inspector.
Lösung:
Verwenden Sie den Critical Patch - Build 1242.
http://www.trendmicro.com/ftp/product...CE_8.0_Win_EN_CriticalPatch_B1242.exe
Gemeldet und/oder entdeckt von:
Luigi Auriemma
Änderungen:
2008-03-28: "Lösung" aktualisiert.
Original Advisory:
Trend Micro:
http://www.trendmicro.com/ftp/documen...Win_EN_CriticalPatch_B1242_readme.txt
Luigi Auriemma:
http://aluigi.altervista.org/adv/officescaz-adv.txt
|
|
|
|
|
Please note: The information that this Secunia Advisory is based on comes from a third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
|
|
|
|
2 Related Secunia Security Advisories
|
|
|
1. Trend Micro Scan-Engine Tmxpflt.sys Ausweitung von Rechten
|
|
2. Trend Micro OfficeScan CGI Module Pufferüberlauf und Authentifizierungsumgehung
|
|
|
Send Feedback to Secunia
|
|
If you have new information regarding this Secunia advisory or a product in our database, please send it to us using either our web form or email us at vuln@secunia.com.
Ideas, suggestions, and other feedback are most welcome.
|
|
|
|
|
|
Secunia PSI
Scan | Patch | Track
Free Download
|
|
|
Secunia Poll
|
|
|
|
|
 |
|
|
Most Popular Advisories
|
|
|
|
|
|
