Wiele wad znalezionych w Trend Micro Linux oparty poczta elektroniczna szyfrowania bramy

Computer Security News

Podstawowych zabezpieczeń eksperci odkryli wiele luk w zabezpieczeniach w bramy szyfrowanie poczty E-mail oparte na Trend Micro Linux. Niektóre luki zostały ocenione jako krytyczne i ciężkie i otrzymane numery identyfikacyjne CVE CVE-2018-6219 przez CVE-2018-6230.

Według naukowców bezpieczeństwa najpoważniejsza Luka w zabezpieczeniach może być wykorzystana przez hakerem lokalny lub zdalny dostęp do docelowego systemu na wykonanie dowolnych poleceń z uprawnieniami użytkownika root.

“Szyfrowanie dla poczty E-mail Gateway jest oparte na systemie Linux oprogramowanie rozwiązanie zapewniające możliwość wykonywania szyfrowania i odszyfrowywania wiadomości e-mail na bramie firmowej, niezależnie od klienta pocztowego i platformy, z której pochodzi. Szyfrowania i odszyfrowywania wiadomości e-mail na TMEEG klienta jest kontrolowana przez menedżerem polityki, która umożliwia administratorowi skonfigurowanie zasady na podstawie różnych parametrów, takich jak nadawcy i odbiorcy wiadomości e-mail adresy,” podstawowych zabezpieczeń eksperci twierdzą.

“Wiele luk zostały znalezione w konsoli sieci web Trend Micro bramy szyfrowanie poczty E-mail, które pozwoliłyby nieuwierzytelnionej zdalnej osobie atakującej uzyskanie wykonanie polecenia jako root”.

Najbardziej krytyczną lukę bezpieczeństwa jest CVE-2018-6223, co jest związane z brak uwierzytelniania rejestracji urządzenia.

Administratorów systemu można skonfigurować urządzenie wirtualne uruchomiony bramy szyfrowanie poczty E-mail podczas procesu wdrażania po wdrażanie za pośrednictwem punktu końcowego rejestracji.

Eksperci znaleźć, że hakerzy mogą uzyskać dostęp do punktu końcowego bez żadnych uwierzytelniania, aby ustawić poświadczenia administratora i wprowadź inne zmiany w konfiguracji.

“Punktu końcowego rejestracji jest świadczone dla administratorom systemów na Konfigurowanie urządzenia wirtualnego podczas wdrażania. Jednak ten punkt końcowy pozostaje dostępny bez uwierzytelniania nawet, po skonfigurowaniu urządzenia, które pozwoliłyby napastników, aby ustawić parametry konfiguracji, takie jak nazwę użytkownika administratora i hasło.” odczytuje zabezpieczeń analizy .

Ponadto naukowcy odkryli dwie wysokie nasilenie skryptów krzyżowych (XSS) wady, problem zapisu dowolnego pliku, co może prowadzić do wykonania polecenia, jestem lokalizacje plików dziennika dowolnego prowadzi wykonanie polecenia i aktualizacje oprogramowania unvalidated.

Innych usterek, eksperci mają zarejestrowane są zastrzyki jednostki zewnętrznej (XXE) SQL i XML.

Tych pakietów są Trend Micro E-mail szyfrowania Gateway 5.5 (Build 1111.00) i wcześniej, Trend Micro zwrócił się do dziesięciu luk rezygnować budować wersja 5.5 1129.

Biorąc pod uwagę Raport z osi czasu, wydaje się, że Trend Micro spędzili ponad sześć miesięcy do wydawania poprawek zabezpieczeń.

Trend Micro poinformował, że ze względu na trudności z wdrożeniem poprawki, problem CSRF zagrożenia i niskiej ważności SQL injection usterka nie została zastosowana poprawka jeszcze.


Leave a Reply

Your email address will not be published. Required fields are marked *