SQL Injection bei Trend Micro Control Manager
Ein Update beseitigt eine SQL-Injection-Lücke in Trends Security-Management-Plattform.
Ausgerechnet Trend Micros Plattform für das zentralisierte Security-Management ist anfällig für das Einschleusen von SQL-Befehlen. Betroffen sind laut US-CERT [1] Trend Micro Control Manager 5.5 [2] und 6.0 [3]; für beide stellt der Hersteller [4] Patches bereit.
Es handelt sich bei der Lücke um eine sogenannte Blind SQL-Injection, bei der das Web-Frontend keine Informationen aus der Datenbank preisgibt. Interessant ist der Proof-of-Concept [5] von Spentera [6], der demonstriert, wie man der Web-Applikation trotzdem über das Timing von SQL-Anfragen etwa den Passwort-Hash entlocken kann. (ju [7])
URL dieses Artikels:
https://www.heise.de/-1721234
Links in diesem Artikel:
[1] http://www.kb.cert.org/vuls/id/950795
[2] http://www.trendmicro.com/ftp/documentation/readme/readme_critical_patch_TMCM55_1823.txt
[3] http://www.trendmicro.com/ftp/documentation/readme/readme_critical_patch_tmcm60_patch1_1449.txt
[4] http://esupport.trendmicro.com/solution/en-us/1061043.aspx
[5] http://www.spentera.com/advisories/2012/trendmicro_timebased_sqli.py.txt
[6] http://www.spentera.com/2012/09/trend-micro-control-manager-sql-injection-vulnerability/
[7] mailto:ju@ct.de
Copyright © 2012 Heise Medien