ニュース
トレンドマイクロの法人製品に脆弱性 ~管理画面の認証が回避されルートでログインされる恐れ
対策パッチの適用を
2019年11月8日 15:02
脆弱性対策情報ポータルサイト“JVN”は11月8日、脆弱性レポート(JVNVU#91743132)を公開した。トレンドマイクロ(株)の法人向け製品の複数にディレクトリトラバーサルの脆弱性が存在するとして注意を喚起している。
レポートによると、トレンドマイクロが提供する「ウイルスバスターコーポレートエディション」(XG SP1、XG、11.0 SP1)、「Apex One 2019」および「ウイルスバスタービジネスセキュリティ」(10.0 SP1、10.0、9.5、9.0)には、本来アクセスできないはずのフォルダーへファイルをアップロードできてしまう、いわゆるディレクトリトラバーサルの脆弱性が存在する。最悪の場合、管理コンソールの認証が回避され、ルートユーザーのアカウントでログインされる可能性がある。
本脆弱性の評価は“CVSS v3”の基本値で“8.8”、“CVSS v2”の基本値で“5.8”。問題を解消するには、以下のパッチを適用する必要がある。
- ウイルスバスター コーポレートエディション XG Service Pack 1 Critical Patch (ビルド 5427)
- ウイルスバスター コーポレートエディション XG Critical Patch (ビルド 1962)
- ウイルスバスター コーポレートエディション 11.0 Service Pack 1 Critical Patch (ビルド 6638)
- Apex One 2019 Critical Patch (ビルド 2049)
- ウイルスバスター ビジネスセキュリティ 10.0 Service Pack 1 Patch (ビルド 2179)
- ウイルスバスター ビジネスセキュリティ 10.0 Patch (ビルド 1569)
- ウイルスバスター ビジネスセキュリティ 9.5 Critical Patch (ビルド 1513)
- ウイルスバスター ビジネスセキュリティ 9.0 Critical Patch (ビルド 4409)