まっちゃだいふくの日記

セキュリティのこと、ITの気になった記事をリンクしています。

【注意喚起】InterScan Web Securityシリーズにおける管理画面関連サービスの脆弱性について:サポート情報 : トレンドマイクロ@ IWSVA/IWSSで複数の脆弱性が存在とのことで注意喚起。

【注意喚起】InterScan Web Securityシリーズにおける管理画面関連サービスの脆弱性について:サポート情報 : トレンドマイクロ

InterScan Web Security Virtual Appliance 6.5 (以下、IWSVA)/InterScan Web Security Suite 6.5 Linux版(以下、IWSS)において、管理画面関連サービスに対する複数の脆弱性が確認されました。


脆弱性の概要
以下、4件の脆弱性が確認されています。
攻撃者がこれらの脆弱性を利用するには、IWSVA/IWSSサーバのホスト名/IPアドレスの情報を入手し、IWSVA/IWSSサーバにアクセスできる必要があります。
外部から直接攻撃を受けるということではなく、内部に侵入された場合にこれらの脆弱性を利用されるリスクがございます。
なお、InterScan Web Security Suite 5.6 Windows版につきましては、これらの脆弱性が存在するモジュールを利用していないため、影響ありません。

・CVE-2020-8603
管理画面にクロスサイトスクリプティング脆弱性が確認されています。
・CVE-2020-8604
内部で使用するログ管理用サービスにディレクトリトラバーサル脆弱性が確認されています。
・CVE-2020-8605
管理画面にコマンドインジェクションの脆弱性が確認されています。
・CVE-2020-8606
内部で使用するログ管理用サービスに認証バイパスの脆弱性が確認されています。

■対処方法
リスク低減策として、ネットワークファイアウォールの機能等でIWSVA/IWSSサーバにアクセス可能なクライアントを制限するようお願いいたします。 また、恒久対策として、これらの脆弱性を修正するCritical Patchを準備しております。 Critical Patchがリリースされましたら、なるべく速やかに適用いただくようお願いいたします。 リリース予定等その他詳細につきましては、以下のQ&Aページをご参照ください。

製品Q&A : アラート/アドバイザリ:InterScan Web Securityシリーズにおける管理画面関連サービスの脆弱性について
■製品サポート情報
ご不明な点がございましたら、弊社サポートセンターまでお問合せください。
お問合せ方法については、こちらをご確認ください。

サポート情報 : トレンドマイクロ

サイバーセキュリティ入門 (日経ムック)

サイバーセキュリティ入門 (日経ムック)

  • 発売日: 2020/03/23
  • メディア: ムック