Acceso a archivos arbitrarios a través de Trend Micro OfficeScan

Acceso a archivos arbitrarios a través de Trend Micro OfficeScan

Se ha anunciado una vulnerabilidaden Trend Micro OfficeScan 11.0 SP1 que podría permitir a un atacante remoto visualizar cualquier archivo del sistema afectado.

Trend Micro OfficeScan ofrece protección frente a amenazas en servidores de archivos, PCs, portátiles y escritorios virtualizados mediante la combinación de tecnologías de seguridad in situ y en la nube. OfficeScan consta de un agente que reside en el equipo del usuario y de un servidor que gestiona todos los agentes.

El problema reside en una escalada de directorios a través de la manipulación de ciertas variables que podría permitir a un atacante obtener acceso a archivos y carpetas fuera de la carpeta raíz del núcleo del sitio web del servidor OfficeScan. 
Trend Micro ha publicado el parche 11.0 SP1 Hot Fix 4889 disponible desde:
Según el aviso de Trend Micro, la compañía confirma que por la naturaleza del ataque es necesario haber comprometido previamente la protección del agente de seguridad del servidor.
Más información:
Trend Micro OfficeScan Path Traversal Vulnerability
Antonio Ropero
Twitter: @aropero

http://feeds.feedburner.com/hispasec/zCAd