脆弱性の影響を受ける製品
| CVE番号 | 製品 | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
| CVE-2020-24563 | Biz Biz VBBSS | 10.0 SP1 9.5 6.7 | 7.8 | 高 |
|
CVE-2020-24564, CVE-2020-24565, | Biz Biz VBBSS | 10.0 SP1 9.5 6.7 | 5.6 | 中 |
| CVE-2020-28574 | Biz Biz | 10.0 SP1 9.5 | 10 | 緊急 |
脆弱性の概要
CVE-2020-24563: Trend Micro のエンドポイント製品における認証バイパス脆弱性
本脆弱性により、セキュリティエージェントのアンロードオプションのプロセスを操作することができる可能性があります。これにより権限昇格やコード実行が行われる可能性があります。CVSスコアは 7.8で深刻度は高です。
CVE-2020-24564, CVE-2020-24565, CVE-2020-25770, CVE-2020-25771, CVE-2020-25772:Trend Micro のエンドポイント製品における領域外のメモリ参照による情報漏洩の脆弱性
複数の領域外メモリ参照による情報漏洩の脆弱性が確認されています。これにより、脆弱性のある製品がインストールされた環境で、特権を持たないアカウント対して機微な情報が漏洩する可能性があります。CVSスコアは5.6で深刻度は中です。
CVE-2020-28574: Trend Micro のエンドポイント製品における認証されていないパストラバーサルによる任意のリモートファイル削除の脆弱性
ウイルスバスター ビジネスセキュリティサーバに、認証されていない攻撃者が脆弱性を悪用し任意のリモートファイルを変更または削除することを可能にする脆弱性が存在します。CVSスコアは10で深刻度は緊急です。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Biz | 10.0 SP1 | Patch 2260 | Readme |
| Biz | 9.5 | Biz 10.0 SP1 Patch 2260へのアップグレード | - |
| VBBSS | 6.7.1400 / 14.2.1209 | 8/15 メンテナンスで修正済み | - |
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています。
参照情報
CVE-2020-24563, CVE-2020-24564, CVE-2020-24565, CVE-2020-25770, CVE-2020-25771, CVE-2020-25772, CVE-2020-28574
