SQL Injection bei Trend Micro Control Manager
Ein Update beseitigt eine SQL-Injection-Lücke in Trends Security-Management-Plattform.
Ausgerechnet Trend Micros Plattform für das zentralisierte Security-Management ist anfällig für das Einschleusen von SQL-Befehlen. Betroffen sind laut US-CERT Trend Micro Control Manager 5.5 und 6.0; für beide stellt der Hersteller Patches bereit.
Es handelt sich bei der Lücke um eine sogenannte Blind SQL-Injection, bei der das Web-Frontend keine Informationen aus der Datenbank preisgibt. Interessant ist der Proof-of-Concept von Spentera, der demonstriert, wie man der Web-Applikation trotzdem über das Timing von SQL-Anfragen etwa den Passwort-Hash entlocken kann. (ju)