概要
Trend Micro Apex OneとApex One SaaS、ウイルスバスターコーポレートエディション(以下、ウイルスバスターCorp.)で確認された複数の脆弱性の影響と対応策について教えてください(CVE-2021-25250, CVE-2021-25253, CVE-2021-28645, CVE-2021-28646)
詳細
脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2021-25250, CVE-2021-25253, | Apex One ウイルスバスターCorp. | 2019、SaaS XG SP1 | 4.7 - 7.8 | 中-高 |
脆弱性の概要
CVE-2021-25250, CVE-2021-25253: 不適切なアクセス制御による権限昇格の脆弱性Trend Micro Apex One 、Apex One SaaSとウイルスバスターCorp.における不適切なアクセス制御による脆弱性により、権限が昇格される可能性がある脆弱性が確認されました。この脆弱性を悪用するには実行権限が必要です。CVSスコアは7.8で深刻度は高です。
CVE-2021-28645: 不適切なパーミッションの割り当てによる権限昇格の脆弱性
Trend Micro Apex One 、Apex One SaaSとウイルスバスターCorp.における不適切パーミッションの割り当てによる脆弱性により、権限が昇格される可能性がある脆弱性が確認されました。この脆弱性を悪用するには実行権限が必要です。CVSスコアは7.8で深刻度は高です。
CVE-2021-28646: 安全でないファイルパーミッションによる脆弱性
Trend Micro Apex One 、Trend Micro Apex One SaaSとウイルスバスターCorp.におけるにおける安全でないファイルパーミッションの設定による脆弱性により、権限が昇格される可能性がある脆弱性が確認されました。この脆弱性を悪用するには実行権限が必要です。CVSスコアは4.7で深刻度は中です。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex One | 2019, SaaS | CP 9204 2021 3月更新で修正 | Readme 更新情報 |
| ウイルスバスターCorp. | XG | CP 6046 | Readme |
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています
参照情報
- ZDI-CAN-11951
- ZDI-CAN-12148
- ZDI-CAN-12147
更新情報
2021年3月31日 公開2021年4月1日 ウイルスバスターCorp.に関する情報を追記しました。
