ニュース

トレンドマイクロの法人製品に複数の脆弱性、情報漏洩や任意ファイルを削除される可能性

最新版へのアップデートや、対策パッチの適用を

脆弱性レポート(JVNVU#94282488)

 脆弱性対策情報ポータルサイト“JVN”は11月26日、脆弱性レポート(JVNVU#94282488)を公開した。トレンドマイクロ(株)の一部法人向け製品に複数の脆弱性が存在するとして注意を喚起している。

 レポートによると、脆弱性が発見されたのは以下の製品。想定される影響はさまざまだが、特定の条件において暗号化されていないLDAP通信が行われることで内部情報が漏洩したり(CVE-2019-15626)、「Trend Micro Deep Security Agent」が稼働しているサーバー上の任意のファイルを削除される可能性がある(CVE-2019-15627)という。

  • Trend Micro Deep Security Manager
  • Trend Micro Deep Security Agent
  • Trend Micro Virtual Patch for Endpoint(TMVP)Manager 2.0 SP2 Patch7 Critical Patch およびそれ以前のバージョン

 なお、「Trend Micro Deep Security Agent」はさまざまなサーバーOSに対応するが、問題の影響を受けるのはWindows版のみだという。

 脆弱性の深刻度は、“CVE-2019-15626”が“CVSS v3”の基本値で“6.8”、“CVE-2019-15627”が“CVSS v3”の基本値で“6.1”。最新版へのアップデートや、対策パッチの適用が推奨されている。