ニュース

トレンドマイクロの法人製品に脆弱性 ~管理画面の認証が回避されルートでログインされる恐れ

対策パッチの適用を

脆弱性レポート(JVNVU#91743132)

 脆弱性対策情報ポータルサイト“JVN”は11月8日、脆弱性レポート(JVNVU#91743132)を公開した。トレンドマイクロ(株)の法人向け製品の複数にディレクトリトラバーサルの脆弱性が存在するとして注意を喚起している。

 レポートによると、トレンドマイクロが提供する「ウイルスバスターコーポレートエディション」(XG SP1、XG、11.0 SP1)、「Apex One 2019」および「ウイルスバスタービジネスセキュリティ」(10.0 SP1、10.0、9.5、9.0)には、本来アクセスできないはずのフォルダーへファイルをアップロードできてしまう、いわゆるディレクトリトラバーサルの脆弱性が存在する。最悪の場合、管理コンソールの認証が回避され、ルートユーザーのアカウントでログインされる可能性がある。

 本脆弱性の評価は“CVSS v3”の基本値で“8.8”、“CVSS v2”の基本値で“5.8”。問題を解消するには、以下のパッチを適用する必要がある。

  • ウイルスバスター コーポレートエディション XG Service Pack 1 Critical Patch (ビルド 5427)
  • ウイルスバスター コーポレートエディション XG Critical Patch (ビルド 1962)
  • ウイルスバスター コーポレートエディション 11.0 Service Pack 1 Critical Patch (ビルド 6638)
  • Apex One 2019 Critical Patch (ビルド 2049)
  • ウイルスバスター ビジネスセキュリティ 10.0 Service Pack 1 Patch (ビルド 2179)
  • ウイルスバスター ビジネスセキュリティ 10.0 Patch (ビルド 1569)
  • ウイルスバスター ビジネスセキュリティ 9.5 Critical Patch (ビルド 1513)
  • ウイルスバスター ビジネスセキュリティ 9.0 Critical Patch (ビルド 4409)