ビジネスサポートポータルアカウントでログイン
 

アラート/アドバイザリ:ウイルスバスターコーポレートエディション、Apex One、ウイルスバスタービジネスセキュリティにおける管理コンソールの認証回避に繋がるディレクトリトラバーサルの脆弱性

    • 更新日:
    • 5 Nov 2019
    • 製品/バージョン:
    • Apex One 2019
    • ウイルスバスター コーポレートエディション 11.0
    • ウイルスバスター コーポレートエディション XG
    • ウイルスバスター ビジネスセキュリティ 10.0
    • ウイルスバスター ビジネスセキュリティ 9.0
    • ウイルスバスター ビジネスセキュリティ 9.5
    • OS:
概要
アラート/アドバイザリ:複製のエンドポイント製品における、管理コンソールの認証回避に繋がるディレクトリトラバーサルの脆弱性(CVE-2019-18189)について、教えてください。
詳細
Public

脆弱性の影響を受ける製品/コンポーネント/ツール

次の製品で脆弱性の影響が確認されました。

該当する脆弱性製品/コンポーネント/ツールバージョン
CVSS3.0
スコア
深刻度
CVE-2019-18189
ウイルスバスター Corp.11 SP1, XG, XG SP1, 8.8 高
Apex One2019
ウイルスバスタービジネスセキュリティ9.0、9.5、10.0、10.0 SP1
 

脆弱性の概要

CVE-2019-18189 (CVSS3.0 8.8)

攻撃者はこのディレクトリトラバーサルの脆弱性を利用することで、 管理コンソールの認証を回避しルートユーザのアカウントでログインすることが可能です。
 

対処方法

トレンドマイクロでは、本脆弱性に対する Critical Patch (以下、CP) を公開しています。

製品/コンポーネント/ツールバージョン修正Readme
ウイルスバスター Corp.11 SP1
XG
XG SP1
CP 6638
CP 1962
CP 5427

Readme
Readme
Readme

Apex One2019CP 2049Readme
ウイルスバスター ビジネスセキュリティ9.0
9.5
10.0
10.0 SP1
CP 4409
CP 1513
Patch 1569
Patch 2179
Readme
Readme
Readme
Readme
 
Critical Patch 5427 適用後に確認されている問題について、発生条件や回避策を下記製品 Q&A で公開しております。
こちらも併せてご確認ください。

お使いの環境が、対象バージョンに該当するか確認するには、下記FAQの確認方法でご確認をお願いします。
 

ウイルスバスター コーポレートエディション の製品情報確認方法

ウイルスバスター コーポレートエディション の製品情報(ビルド、パターンバージョン、アクティベーションコードなど)確認方法

 

各製品を最新版へバージョンアップする流れは、下記FAQの確認方法でご確認をお願いします。

注意:上記に記載のないサポート外の旧バージョンをご利用のお客様については、サポート期間内のバージョンへバージョンアップを行うことを強く推奨します。

 

軽減要素

本脆弱性を利用するには、攻撃者は管理サーバに、ネットワーク経由でアクセスする必要があります。

信頼されたネットワークからのみサーバへのアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
 

参照情報

CVE-2019-18189

Premium
Internal
評価:
カテゴリ:
SPEC
Solution Id:
000151169
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド