【注意喚起】ウイルスバスターコーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い：サポート情報 : トレンドマイクロ＠ウイルスバスターCorpにディレクトリトラバーサルの脆弱性、その緊急パッチ

【注意喚起】ウイルスバスターコーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い：サポート情報 : トレンドマイクロ

ウイルスバスターコーポレートエディション(以下、ウイルスバスター Corp. )において、
ディレクトリトラバーサルの脆弱性（CVE-2019-18187）を悪用した攻撃事例が確認されております。
現在サポート提供期間中の各バージョンについて、修正プログラム（Critical Patch）を準備させていただきましたので、
早期の適用をお願いいたします。
※ウイルスバスター Corp. 以外の製品では影響はありません。

■本脆弱性について
攻撃者は、本ディレクトリトラバーサルの脆弱性（CVE-2019-18187）を利用することで、
アップロードした任意のzip形式のファイルをウイルスバスター Corp. サーバ上の特定のフォルダ配下に展開することが可能となり、
管理コンソールで使用しているWebサービスアカウントでの任意コード実行が可能になります。
（このアカウントの権限はWebプラットフォームに依存しており、限定的な権限しか持たない場合があります。）
ただし、攻撃者がこの脆弱性を利用するためには、事前に管理コンソールへのユーザ認証の情報を把握している事が必要となります。
また、通常管理サーバは外部に公開されていないため、攻撃者はあらかじめ標的組織の内部ネットワークへ侵入し、
管理サーバへアクセス可能なクライアントの制御を奪取している事も必要となります。
攻撃者が外部からリモートで直接内部にあるウイルスバスター Corp. サーバ上のファイルを変更できる、という事ではありません。
本脆弱性については、以下製品Q&Aも併せてご確認ください。
アラート/アドバイザリ：ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性
■対応方法
現在サポート提供期間中である、ウイルスバスター Corp. の各バージョンについて、
修正プログラム（Critical Patch）を準備させていただきました。
早期の適用をお願いいたします。

製品バージョン修正プログラム（Critical Patch）

ウイルスバスター Corp. XG SP1 Critical Patch 5427

ウイルスバスター Corp. XG Critical Patch 1962

ウイルスバスター Corp. 11.0 Critical Patch 6638

修正プログラム（Critical Patch）についてのサポートニュースも併せてご確認ください。
サポート情報 : トレンドマイクロ

製品	バージョン	修正プログラム（Critical Patch）
ウイルスバスター Corp.	XG SP1	Critical Patch 5427
ウイルスバスター Corp.	XG	Critical Patch 1962
ウイルスバスター Corp.	11.0	Critical Patch 6638