Trend Micro Smart Protection Server (スタンドアロン) 3.x において、SQL インジェクションとサービス運用妨害 ( DoS ) の攻撃を受ける可能性がある脆弱性が確認されました。
Critical Patchの適用をお願いいたします。
Critical Patchの適用をお願いいたします。
脆弱性の概要
CVE-2018-10350
任意のコードをアップロードして実行させることのできる SQL インジェクション攻撃を受ける可能性がある脆弱性です。
ただし、この脆弱性の攻撃のためには、事前に管理者権限を取得している必要があります。
CVE-2018-6237
認証されていない遠隔地の攻撃者が、特殊な HTTP リクエストを大量に送付することで、サービス拒否攻撃を行うことができる可能性がある脆弱性です。
任意のコードをアップロードして実行させることのできる SQL インジェクション攻撃を受ける可能性がある脆弱性です。
ただし、この脆弱性の攻撃のためには、事前に管理者権限を取得している必要があります。
CVE-2018-6237
認証されていない遠隔地の攻撃者が、特殊な HTTP リクエストを大量に送付することで、サービス拒否攻撃を行うことができる可能性がある脆弱性です。
製品への影響
本脆弱性による影響の有無が判明している製品は以下のとおりです。
影響する製品名 / バージョン
| 製品名 | バージョン | 影響度 |
|---|---|---|
| Trend Micro Smart Protection Server ( スタンドアロン ) | 3.0 ~ 3.3 | 高 |
サポート終了日を迎えているバージョンにつきましては、Critical Patch 等の修正モジュールの作成・公開は致しかねますのでご了承ください。
製品での対応
本脆弱性は下記の Critical Patch で修正が行われています。
| 製品名 | 修正バージョン・ビルド |
|---|---|
| Trend Micro Smart Protection Server ( スタンドアロン ) |
3.0 Critical Patch ビルド 1358 |
外部参照
CVE-2018-10350
CVE-2018-6237