ビジネスサポートポータルアカウントでログイン
 

アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性

    • 更新日:
    • 5 Nov 2019
    • 製品/バージョン:
    • ウイルスバスター コーポレートエディション 11.0
    • ウイルスバスター コーポレートエディション XG
    • OS:
概要
ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性(CVE-2019-18187)について、教えてください。
詳細
Public

脆弱性の影響を受ける製品/コンポーネント/ツール

次の製品で脆弱性の影響が確認されました。
該当する脆弱性製品/コンポーネント/ツールバージョン
CVSS3.0
スコア
深刻度
CVE-2019-18187
ウイルスバスターコーポレートエディション11 SP1
XG
XG SP1
8.2 高

脆弱性の概要

CVE-2019-18187 (CVSS 3.0 8.2)
攻撃者はこのディレクトリトラバーサルの脆弱性を利用することで、アップロードされた任意のzip形式のファイルを特定のフォルダ配下に展開することが可能です。これにより管理コンソールで使用しているWebサービスのアカウントでの任意コード実行が可能になります(このアカウントの権限はWebプラットフォームに依存しており、限定的な権限しか持たない場合があります)。この脆弱性を利用するためには、管理コンソールへのユーザ認証が必要となります。 

注意:トレンドマイクロは、この脆弱性が実際の攻撃に利用されたことを認知しています。できるだけ早く最新バージョンへ更新することを推奨しています。

対処方法

トレンドマイクロでは、本脆弱性に対する Critical Patch (以下、CP) を公開しています。
製品/コンポーネント/ツールバージョン修正Readme
ウイルスバスターコーポレートエディション11 SP1 
XG
XG SP1

CP 6638
CP 1962
CP 5427

Readme
Readme
Readme
 
Critical Patch 5427 適用後に確認されている問題について、発生条件や回避策を下記製品 Q&A で公開しております。
こちらも併せてご確認ください。

お使いの環境が、対象バージョンに該当するか確認するには、下記FAQの確認方法でご確認をお願いします。
各製品を最新版へバージョンアップする流れは、下記FAQの確認方法でご確認をお願いします。

注意:上記に記載のないサポート外の旧バージョンをご利用のお客様については、サポート期間内のバージョンへバージョンアップを行うことを強く推奨します。


軽減要素

本脆弱性を利用するには、攻撃者はウイルスバスター Corp.サーバにネットワーク経由でアクセスする必要があります。
信頼されたネットワークからのみサーバへのアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。

参照情報

CVE-2019-18187
Premium
Internal
評価:
カテゴリ:
SPEC
Solution Id:
000151167
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド