Menü
Alert!

SQL Injection bei Trend Micro Control Manager

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von

Ausgerechnet Trend Micros Plattform für das zentralisierte Security-Management ist anfällig für das Einschleusen von SQL-Befehlen. Betroffen sind laut US-CERT Trend Micro Control Manager 5.5 und 6.0; für beide stellt der Hersteller Patches bereit.

Es handelt sich bei der Lücke um eine sogenannte Blind SQL-Injection, bei der das Web-Frontend keine Informationen aus der Datenbank preisgibt. Interessant ist der Proof-of-Concept von Spentera, der demonstriert, wie man der Web-Applikation trotzdem über das Timing von SQL-Anfragen etwa den Passwort-Hash entlocken kann. (ju)