複数のトレンドマイクロ製品に、情報漏えいやファイル削除の脆弱性（トレンドマイクロ、JVN）

トレンドマイクロが発表した2つの脆弱性に対し、IPAおよびJPCERT/CCが、「トレンドマイクロ株式会社製の複数の製品に複数の脆弱性」を「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2019.11.28 Thu 8:05

トレンドマイクロ株式会社が発表した2つの脆弱性に対し、独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）が、「トレンドマイクロ株式会社製の複数の製品に複数の脆弱性」を11月26日に「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは7.1。

2つの脆弱性は、トレンドマイクロがアラート/アドバイザリとして発表した「Trend Micro Virtual Patch for Endpoint における StartTLS LDAP機密性(CVE-2019-15626)」（10/30）、および「Trend Micro Deep Security における StartTLS LDAP機密性(CVE-2019-15626)およびローカルの任意ファイルのオーバーライドに関する脆弱性(CVE-2019-15627)について」（10/31）。

「Trend Micro Virtual Patch for Endpoint(TMVP)Manager 2.0 SP2 Patch7 Critical Patch 以下」および「Deep Security Manager」には、特定の条件においてLDAPとの通信で暗号化されてない通信が行われる脆弱性（CVE-2019-15626）が確認されている。また、「Deep Security Agent」には、Windows版のDSAにおいてサーバ上の任意のファイルを削除できる脆弱性（CVE-2019-15627）が確認されている。

これらの脆弱性が悪用されると、暗号化されていないLDAP通信が行われ、情報が漏えいする（CVE-2019-15626）、あるいは、Trend Micro Deep Security Agentが稼働しているサーバ上の任意のファイルを削除される（CVE-2019-15627）可能性がある。トレンドマイクロでは、同脆弱性を解消する新バージョンまたはパッチをリリースしており、早期の適用を呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》