【注意喚起】ウイルスバスター コーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い:サポート情報 : トレンドマイクロ
ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp. )において、
ディレクトリトラバーサルの脆弱性(CVE-2019-18187)を悪用した攻撃事例が確認されております。現在サポート提供期間中の各バージョンについて、修正プログラム(Critical Patch)を準備させていただきましたので、
早期の適用をお願いいたします。
※ウイルスバスター Corp. 以外の製品では影響はありません。
■本脆弱性について
攻撃者は、本ディレクトリトラバーサルの脆弱性(CVE-2019-18187)を利用することで、
アップロードした任意のzip形式のファイルをウイルスバスター Corp. サーバ上の特定のフォルダ配下に展開することが可能となり、
管理コンソールで使用しているWebサービスアカウントでの任意コード実行が可能になります。
(このアカウントの権限はWebプラットフォームに依存しており、限定的な権限しか持たない場合があります。)ただし、攻撃者がこの脆弱性を利用するためには、事前に管理コンソールへのユーザ認証の情報を把握している事が必要となります。
また、通常管理サーバは外部に公開されていないため、攻撃者はあらかじめ標的組織の内部ネットワークへ侵入し、
管理サーバへアクセス可能なクライアントの制御を奪取している事も必要となります。攻撃者が外部からリモートで直接内部にあるウイルスバスター Corp. サーバ上のファイルを変更できる、という事ではありません。
本脆弱性については、以下製品Q&Aも併せてご確認ください。
アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性
■対応方法
現在サポート提供期間中である、ウイルスバスター Corp. の各バージョンについて、
修正プログラム(Critical Patch)を準備させていただきました。
早期の適用をお願いいたします。
製品 バージョン 修正プログラム(Critical Patch) ウイルスバスター Corp. XG SP1 Critical Patch 5427 ウイルスバスター Corp. XG Critical Patch 1962 ウイルスバスター Corp. 11.0 Critical Patch 6638 修正プログラム(Critical Patch)についてのサポートニュースも併せてご確認ください。
サポート情報 : トレンドマイクロ
関連URL
謝罪の極意:頭を下げて売上を上げるビジネスメソッド (実用単行本)
- 作者: 越川慎司
- 出版社/メーカー: 小学館
- 発売日: 2019/06/12
- メディア: 単行本
- この商品を含むブログを見る