影響を受ける製品
- InterScan Web Security Virtual Appliance (以下、IWSVA)
- InterScan Web Security Suite Linux版/Windows版 (以下、IWSS)
対応策
| 製品/サービス名 | バージョン | 影響度 | モジュール公開日 | 備考 |
|---|---|---|---|---|
| IWSVA | 6.5 SP2 | 低 | 2019/4/1 | 本脆弱性の修正は、Patch 3 Critical Patch 1716 に含まれています。(※) 最新のCritical PatchおよびPatchは、最新版ダウンロードページよりダウンロードいただけます。 |
| IWSS (Linux版) | 6.5 | 低 | 2019/4/1 | 本脆弱性の修正は、Patch 2 に含まれています。(※) 最新のCritical PatchおよびPatchは、最新版ダウンロードページよりダウンロードいただけます。 |
| IWSS (Windows版) | 5.6 | 低 | 2019/5/27 | 本脆弱性の修正は、Patch 2 に含まれています。(※) 最新のCritical PatchおよびPatchは、最新版ダウンロードページよりダウンロードいただけます。 |
※本アドバイザリに記載のビルド番号以上のCritical PatchもしくはPatchが最新版ダウンロードページに公開されている場合は、新しいビルド番号の修正モジュールをご利用ください。
- 本脆弱性の影響を受ける製品は、上述の「対象製品」に記載されているバージョンのみとなります。
- サポート終了日を迎えているバージョンにつきましては、Critical Patch 等の修正モジュールの作成および公開をいたしかねます。
脆弱性の概要
InterScan Web Security シリーズでは、管理コンソール上に管理者認証情報開示の脆弱性が存在します。
また、本脆弱性を成功させるためには、攻撃者が既に InterScan Web Security シリーズのWeb管理コンソールのログイン認証情報を取得しておく必要があります。
また、本脆弱性を成功させるためには、攻撃者が既に InterScan Web Security シリーズのWeb管理コンソールのログイン認証情報を取得しておく必要があります。
脆弱性の緩和
本脆弱性を成功させるためには、攻撃者が既に InterScan Web Security シリーズのWeb管理コンソールのログイン認証情報を取得しておく必要がある点からも、脆弱性を緩和するために、以下のことを実施していただくことをお勧めいたします。 なお、根本的な解決に向けては、本脆弱性に対する修正モジュールを適用することです。
- 管理コンソールにアクセスするための、アカウントおよびパスワード情報の厳重な管理
- 攻撃者が容易に利用可能なネットワークからの、管理コンソールへのアクセス制限
参考情報
CVE-2019-9490