Schwachstelle in TrendMicros Interscan Viruswall [2.Update]
Mit speziellen URL-Pfaden ist es möglich, auf TrendMicros Interscan Viruswall beliebige Dateien einzusehen.
Der Sicherheitsspezialist Tri Huynh von SentryUnion hat auf Bugtraq ein Security Advisory veröffentlicht, das die Möglichkeit beschreibt, mit speziellen URL-Pfaden auf TrendMicros Interscan Viruswall beliebige Dateien einzusehen. Schuld daran ist der eingebaute Mini-Proxy/Webserver der für sogenannte Directory Traversals anfällig ist. Mit Pfadangaben wie
http://viruswall:8080/ishttpd/localweb/java/?/../../../../../../../../autoexec.bat
kann ein Angreifer beispielsweise die autoexec.bat herunterladen. Errät er die Dateistruktur des Zielsystems, so lassen sich auch eventuell vertrauliche Daten einsehen.
Betroffen ist die Interscan Viruswall 3.5x unter Windows, andere Plattformen wurden nicht getestet, sind aber sehr wahrscheinlich ebenfalls verwundbar. Nach Angaben von Tri Huyn ist der Hersteller über das Problem informiert, hat aber noch nicht reagiert. Huyn empfiehlt, die Interscan Viruswall bis zum Erscheinen eines Patches zu deaktivieren. Allerdings sollte dieser Empfehlung lieber niemand Folge leisten: Immerhin schützt die Interscan Viruswall Unternehmensnetze vor Viren und bösartigem Code in E-Mails.
[Update] TrendMicro hat gegenüber heise Security das Problem bestätigt. Allerdings ist nur die Windows-Version betroffen, Viruswall für Unix-Plattformen ist nicht verwundbar. Der Hersteller will schnellstmöglich einen Hot Fix herausbringen, der den Fehler beseitigen soll.
[2.Update] TrendMicro hat mit einem eigenen Advisory und einem Hot Fix reagiert, der allerdings nur über den Support zu beziehen ist. Der Hersteller empfiehlt den Hot Fix einzuspielen.
Siehe dazu auch: (dab)
- Security Advisory auf Bugtraq
