Trend Micro: Otkriveno desetak ranjivosti

Trend Micro: Otkriveno desetak ranjivosti

Core Security je prošle sedmice objavio izvještaj u kome su opisali desetak ranjivosti za Trend Micro-ov Email Encryption Gateway (EEG). U ovom, Linux zasnovanom, rješenju za enkripciju e-mail poruka pronađeno je više tipova ranjivosti, koji uključuju izvršenje proizvoljnog koda pod root privilegijama, nedostatak autentifikacije, kao i više XSS i CSRF ranjivosti.

Ranjivosti su označene sa identifikatorima u rasponu od CVE-2018-6219 do CVE-2018-6230. Najozbiljnija ranjivost se odnosi na CVE-2018-6223. Prilikom procesa registracije endpoint-a administratori mogu konfigurisati virtuelnu mašinu na kojoj se nalazi EEG. Ranjivost se odnosi na nedostatak autentifikacije prilikom ovog procesa. Ovo omogućava svakom novom dodatom endpoint-u da bez autentifikacije pristupi konfiguraciji EEG-a koja omogućava postavljanje administratorskih naloga i lozinki.

Trend Micro je objavio zakrpe za 10 ranjivosti u EEG verziju 5.5 build 1129. Dvije ranjivosti, srednje ozbiljna CSRF i manje ozbiljna SQL injection ranjivost nisu otklonjene jer bi njihove zakrpe narušile normalno funkcionisanje sistema. Iz Trend Micro su takođe dodali da se EEG približava kraju životnog ciklusa te korisnicima savjetuju da počnu koristiti InterScan Messaging Security koji ima slične funkcionalnosti kao EEG.

Izvor:securityweek.com

Leave a Reply