S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 juin 2007
N° CERTA-2007-AVI-279
Affaire suivie par: CERT-FR
le 27 juin 2007

Avis du CERT-FR

Objet: Vulnérabilités dans Trend Micro OfficeScan

Gestion du document

Référence CERTA-2007-AVI-279
Titre Vulnérabilités dans Trend Micro OfficeScan
Date de la première version 27 juin 2007
Date de la dernière version 27 juin 2007
Source(s) Bulletin de sécurité Trend Micro du 26 juin 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité.

Systèmes affectés

Trend Micro OfficeScan Corporate Edition version 8.0.

Résumé

Deux vulnérabilités dans Trend Micro OfficeScan permettent l'exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Description

Deux vulnérabilités ont été découvertes dans les modules CGI du serveur Trend Micro OfficeScan :

  • la première, de type débordement de mémoire, permet l'exécution de code arbitraire à distance avec les droits de l'utilisateur web ;
  • la seconde permet, par l'intermédiaire de paquets HTTP dont les en-têtes ont été spécifiquement modifiés, de se connecter à la console d'administration en contournant le mécanisme d'authentification.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 27 juin 2007
    version initiale.