脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2021-23139
CVE-2021-42012 CVE-2021-42104 - 42108 CVE-2021-44019 - 44021 | Biz | 10.0 SP1 | 3.5-7.8※ | 低-高※ |
|
CVE-2021-42104 - 42107
| VBBSS | 6.7 |
※ 概要をご確認ください。
脆弱性の概要
CVE-2021-42104 - 42108, CVE-2021-44019 - 44021:不必要な権限によるローカル権限昇格の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (CVE-2021-42104 から 42107)
CVSSv3: 7.3: AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H (CVE-2021-42108)
CVSSv3: 7.0: AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H (CVE-2021-44019 から 44021)
Biz、VBBSS に不必要な特権の脆弱性があり、攻撃者がローカルで権限を昇格できる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
なお、CVE-2021-42108 の脆弱性は Biz のみの影響となり、VBBSS には影響しません。
CVE-2021-42012:スタック上でのバッファオーバーフローによる権限昇格の脆弱性
CVSSv3: 7.8: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Biz には、スタックベースのバッファオーバーフローの脆弱性があり、攻撃者がローカルで権限を昇格できる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
CVE-2021-23139:ヌルポインタの脆弱性
CVSSv3: 3.5: AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L
Biz には、ヌルポインタの脆弱性があり、攻撃者が影響を受けるインストール環境のCGIプログラムをクラッシュさせる可能性があります。この脆弱性を悪用するには、攻撃者は低レベルでのコードの実行権限を保持している必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Biz | 10.0 SP1 |
Patch 2342 | Readme |
| VBBSS | 6.7 | 8/30 メンテナンスで修正済み | - |
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
ZDI-CAN-13857 (Biz)ZDI-CAN-13861 (Biz/VBBSS)
ZDI-CAN-13873(Biz)
ZDI-CAN-13874 (Biz/VBBSS)
ZDI-CAN-13898 (Biz/VBBSS)
ZDI-CAN-13936(Biz/VBBSS)
ZDI-CAN-14219 (Biz)
ZDI-CAN-14220 (Biz)
ZDI-CAN-14221(Biz)
更新情報
2021/11/25 更新2021/10/20 公開