独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月1日、トレンドマイクロ製企業向けエンドポイントセキュリティ製品における脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。影響を受けるシステムは以下の通り。
Apex One 2019
Apex One SaaS
ウイルスバスターコーポレートエディション XG SP1
ウイルスバスタービジネスセキュリティ 10.0 SP1
ウイルスバスタービジネスセキュリティサービス 6.7
トレンドマイクロ株式会社から、企業向けエンドポイントセキュリティ製品向けのアップデートが公開されている。
想定される影響は各脆弱性により異なるが、下記の影響を受ける可能性がある。
・Apex One 2019
制御されていない検索パス要素による権限昇格
不必要な権限による権限昇格
不適切なパーミッションの割り当てによる権限昇格
スタックベースのバッファオーバーフローによる権限昇格
NULLポインタ参照によるCGIプログラムのクラッシュ
到達可能なアサーションに関する脆弱性によるサービス運用妨害(DoS)攻撃
リンク解釈の脆弱性によるサービス運用妨害(DoS)攻撃
リンク解釈の脆弱性による権限昇格
同一生成元ポリシー違反の脆弱性による権限昇格
境界外読み込みによる管理サーバのクラッシュ
リソース枯渇によるサービス運用妨害(DoS)攻撃
・Apex One SaaS
制御されていない検索パス要素による権限昇格
不必要な権限による権限昇格
不適切なパーミッションの割り当てによる権限昇格
スタックベースのバッファオーバーフローによる権限昇格
NULLポインタ参照によるCGIプログラムのクラッシュ
到達可能なアサーションに関する脆弱性によるサービス運用妨害(DoS)攻撃
リンク解釈の脆弱性によるサービス運用妨害(DoS)攻撃
リンク解釈の脆弱性による権限昇格
同一生成元ポリシー違反の脆弱性による権限昇格
リソース枯渇によるサービス運用妨害(DoS)攻撃
・ウイルスバスターコーポレートエディション XG SP1
制御されていない検索パス要素による権限昇格
不必要な権限による権限昇格
不適切なパーミッションの割り当てによる権限昇格
スタックベースのバッファオーバーフローによる権限昇格
NULLポインタ参照によるCGIプログラムのクラッシュ
到達可能なアサーションに関する脆弱性によるサービス運用妨害(DoS)攻撃
リンク解釈の脆弱性によるサービス運用妨害(DoS)攻撃
リンク解釈の脆弱性による権限昇格
同一生成元ポリシー違反の脆弱性による権限昇格
境界外読み込みによる管理サーバのクラッシュ
・ウイルスバスタービジネスセキュリティ 10.0 SP1
不必要な権限による権限昇格
スタックベースのバッファオーバーフローによる権限昇格
NULLポインタ参照によるCGIプログラムのクラッシュ
リンク解釈の脆弱性によるサービス運用妨害(DoS)攻撃
リンク解釈の脆弱性による権限昇格
境界外読み込みによる管理サーバのクラッシュ
リソース枯渇によるサービス運用妨害(DoS)攻撃
・ウイルスバスタービジネスセキュリティサービス 6.7
不必要な権限による権限昇格
リンク解釈の脆弱性によるサービス運用妨害(DoS)攻撃
リンク解釈の脆弱性による権限昇格
リソース枯渇によるサービス運用妨害(DoS)攻撃
JVNでは、トレンドマイクロが提供する情報をもとに最新版へアップデートするよう呼びかけている。
