Se han descubierto dos vulnerabilidades en Trend Micro ServerProject 5.58 que podrían ser aprovechadas por un atacante para causar una denegación de servicios o para obtener control total sobre la máquina atacada.
* Un desbordamiento de pila en la función CAgRpcClient::CreateBinding cuando procesa paquetes especialmente manipulados enviados al puerto TCP 5168. Un atacante podría aprovechar esto para hacer que el proceso SpntSvc.exe dejase de funcionar o para ejecutar código arbitrario con privilegios de sistema.
* Un desbordamiento de pila en la función RPCFN_EVENTBACK_Online a la hora de manejar llamadas especialmente manipuladas al puerto TCP 3628. Un atacante remoto podría hacer que el proceso EarthAgent.exe dejase de funcionar o podría comprometer el sistema.
Estas vulnerabilidades afectan a Trend Micro ServerProtect for Windows 5.58 y anteriores.
Se ha publicado una solución oficial. Se recomienda instalar los siguientes parches:
Security Patch 2 Build 1174:
http://www.trendmicro.com/ftp/products/patches/spnt_558_win_en_securitypatch2.exe
Security Patch 3 Build 1176:
http://www.trendmicro.com/ftp/products/patches/spnt_558_win_en_securitypatch3.exe
laboratorio@hispasec.com
Más información:
Trend Micro ServerProtect AgRpcCln.dll Stack Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-025.html
Trend Micro ServerProtect EarthAgent Stack Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-024.html
Security Patch 2- Build 1174
http://www.trendmicro.com/ftp/documentation/readme/spnt_558_win_en_securitypatch2_readme.txt
Security Patch 3 – Build 1176
http://www.trendmicro.com/ftp/documentation/readme/spnt_558_win_en_securitypatch3_readme.txt
