脆弱性の概要
CVE-2023-38545: libcurlとcurl (バージョン7.69.0 から 8.3.0)におけるヒープオーバーフローの脆弱性で、データの破壊や任意コード実行に悪用できる可能性があります。そのため、この脆弱性の深刻度は高くなっています。しかし、この脆弱性はSOCKS5プロキシの設定を行っていると場合にのみ悪用することができ、この設定はあまり一般的なものではありません。
CVE-2023-38546: libcurl(バージョン7.69.0 から 8.3.0)におけるクッキーインジェクションの脆弱性で、深刻度は低です。
どちらの脆弱性についても、現時点では悪用事例は確認されていませんが、影響のないバージョンへの更新を推奨しています。
トレンドマイクロ製品への影響
2023年10月に確認されたlibcurlとcurl の脆弱性(CVE-2023-38545 と CVE-2023-38546)について
トレンドマイクロ製品への本脆弱性の影響について記載をします。
追加の情報が確認された場合には、随時本アラートアドバイザリを更新してお知らせします。
| 製品/サービス名 | 影響の有無 |
| Trend Micro Apex Central | 影響なし |
| Trend Micro Apex One | 影響なし |
| Trend Micro Apex One SaaS | 影響なし |
| Cloud App Security | 影響なし |
| Cloud Edge | 影響なし |
| Trend Cloud One - Network Security | 影響なし |
| Trend Cloud One - Endpoint & Workload Security | 影響なし |
| Deep Discovery Inspector | 影響なし |
| Deep Discovery Director | 影響なし |
| Deep Discovery Email Inspector | 影響なし |
| Deep Discovery Analyzer | 影響あり (CVE-2023-38545のみ) ※修正版リリース済み |
| Deep Security | 影響なし |
| InterScan Messaging Security Virtual Appliance | 影響なし |
| InterScan Web Security Suite | 影響なし |
| InterScan Web Security Virtual Appliance | 影響なし |
| InterScan for Microsoft Exchange | 影響なし |
| InterScan for (IBM/Lotus) Domino | 影響あり (CVE-2023-38545のみ)※1 ・InterScan for (IBM/Lotus) Domino 5.6/5.8 Windows 日本語/英語版 ・InterScan for (IBM/Lotus) Domino 5.6/5.8 Linux (Linux は英語版のみ公開されています。) AIX版は影響を受けません。 |
| PortalProtect | 影響なし |
| Security for NAS | 影響なし |
| ServerProtect for Linux | 影響なし |
| ServerProtect for Windows | 影響なし |
| ServerProtect for NetApp | 影響あり (CVE-2023-38545, SOCKS5を利用している場のみ)※2 |
| ServerProtect for Storage | 影響なし |
| ServerProtect for EMC | 影響あり (CVE-2023-38545, SOCKS5を利用している場のみ)※2 |
| TippingPoint | 影響なし |
| ウイルスバスター for Home Network | 影響なし |
| Trend Micro USB Security | 影響なし |
| Trend Micro Email Security | 影響なし |
| Trend Micro Portable Security | 影響なし |
| Trend Micro Web Security | 影響なし |
| Trend Vision One (Basecampモジュールを含む) | 影響なし |
| ウイルスバスター ビジネスセキュリティサービス | 影響なし |
| ウイルスバスター ビジネスセキュリティ | 影響なし |
| InterScan WebManager | 影響なし |
| オンラインスキャン | 影響なし |
| Trend Micro Safe Lock | 影響なし |
| Trend Micro NAS Security | 影響なし |
| Trend Micro Mobile Security | 影響なし |
※1 InterScan for (IBM/Lotus) Domino 5.8 の修正版モジュール (Hotfix) を提供しております。 InterScan for (IBM/Lotus) Domino 5.6 につきましては、5.8 にアップグレードした後で、修正版モジュールの適用が必要です。 修正版モジュールの提供をご希望の場合は、弊社サポートセンターまでお問い合わせください。
※2 ServerProtect for NetApp および ServerProtect for EMC の修正版モジュール(Hotfix)を提供しております。修正版モジュールの提供をご希望の場合は、弊社サポートセンターまでお問い合わせください。
更新情報
2023年10月30日 公開
2023年11月06日 影響を受けない製品 を追記
2024年02月01日 影響を受ける製品 (Deep Discovery Analyzer) を追記
2024年05月22日 影響を受ける製品:InterScan for (IBM/Lotus) Domino を追記
2024年09月06日 影響を受ける/受けない製品:Server Protect5製品 と Security for NAS を追記