ビュー:

脆弱性の概要

ServerProtectの複数の脆弱性を悪用し、攻撃者が中間者攻撃によってアップデートサーバになりすました悪意のある配信元から任意のコードを実行できる可能性があります。

 

本脆弱性は以下の脆弱性IDが割り振られています。

 

  • CVE-2017-9032
  • CVE-2017-9033
  • CVE-2017-9034
  • CVE-2017-9035
  • CVE-2017-9036
  • CVE-2017-9037

 

 

本脆弱性の影響を受けるServerProtect for Linuxのバージョンと修正モジュール

 

製品名バージョン影響度Critical Patch / 回避策
ServerProtect for Linux3.0ServerProtect for Linux 3.0 Critical Patch 1531

※ServerProtect for Linux 3.0 Critical Patch 1531 以上を適用するには事前に次のプログラムがインストールされている必要があります。

 

  • ServerProtect for Linux 3.0 Service Pack 1 Patch 7

    最新版製品ダウンロードページはこちら

注意事項

Trend Micro Control Manager (以下、Control Manager)でServerProtect を管理している場合、上記のCritical Patch を適用してもアップデートサーバおよびデータの整合性チェックは有効化されません。

また、Critical Patch の適用後に Control Manager へ登録した場合、初期設定では有効化されるアップデートサーバおよびデータの整合性チェックが無効化されます。

この動作は、Control Manager の初期設定ではデジタル署名ファイルをダウンロードしないため、データの整合性チェックを有効化したServerProtectがControl Managerからのアップデートに失敗する事象を回避する目的で行われます。

Control Managerからのアップデート時にも整合性チェックを有効化するには、以下の手順を実施します。

m_iCheckDigitalSignatureの設定変更は Control Manager の配信用コンポーネントを生成する機能を無効化している場合のみサポートいたします。

そのため、本設定を行うことによりActiveUpdateサーバへの通信トラフィック量が増加いたしますのでご注意ください。

Step 1 Control Manager側の設定変更

  1. Control Managerのインストールフォルダ(初期設定ではC:\Program Files (x86)\Trend Micro\Control Manager)に存在する、SystemConfiguration.xmlファイルをテキストエディタで開きます。

  2. 以下のパラメータを探し、初期設定値の"0"を"1"に変更します。

    <P Name="m_iCheckDigitalSignature" Value="0">

  3. SystemConfiguration.xmlファイルを上書き保存し、"Trend Micro Control Manager"サービスを再起動します。
  4. Control Manager上でアップデートを実施します。

Step 2 ServerProtect側の設定変更

  1. /opt/TrendMicro/SProtectLinux/tmsplx.xmlファイルをvi等のテキストエディタで開きます。

  2. 以下のパラメータを探し、初期設定値の"0"を"1"に変更します。

    <P Name="DigSig" Value="0">

  3. tmsplx.xmlファイルを上書き保存し、splxサービスを再起動します。

    service splx restart

  1. 手動アップデートモジュールをご利用の場合、上記の設定を行わないでください。手動アップデートモジュールにはデジタル署名ファイルが内包されていないため、上記設定を実施するとアップデートに失敗します。
  2. Control Managerからパターンファイル/エンジンの配信コマンドを実施した場合、アップデートはHTTP通信で実施されるのに対し、ServerProtectからControl Managerをアップデート元としてアップデートを実施した場合、HTTPS通信で実施されます。
  3. 上記設定を実施する前に、Control Managerからパターンファイル/エンジンを配信し、Control ManagerとServerProtectのパターン・エンジンを一致させておく事をお勧めします。ServerProtectのパターン・エンジンがControl Managerよりも古い状態で上記設定を実施した場合、Control Manager上にデジタル署名ファイルが存在しないパターン/エンジンのダウンロードをServerProtectが試みた結果として、最初のアップデートに失敗する可能性があります。
  4. デジタル署名チェックの検証を行う目的で、Control Manager上の全ての配信コンポーネントをデジタル署名付きでダウンロードさせたい場合、Control Manager上のキャッシュを削除します。詳しくは以下の製品Q&Aを参照してください。
キーワード: ServerProtect for Linux