概要
Trend Micro Apex One(以下、Apex One)及び、ウイルスバスターコーポレートエディション(以下、ウイルスバスター Corp. )、ウイルスバスタービジネスセキュリティ、ウイルスバスタービジネスセキュリティサービスにおいて、権限昇格により任意のファイルが作成可能な脆弱性が確認されました。
詳細
脆弱性の影響を受ける製品/コンポーネント/ツール
| 該当する脆弱性 | 製品/コンポーネント/ツール | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2021-3848
| Apex One | 2019 | 2.2 | 低 |
| Apex One SaaS | ||||
| ウイルスバスター Corp. | XG SP1 | |||
| ウイルスバスタービジネスセキュリティ | 10.0 SP1 | |||
| ウイルスバスタービジネスセキュリティサービス |
脆弱性の概要
CVE-2021-3848 : 権限昇格による任意ファイル作成の脆弱性
CVSSv3: 2.2: AV:L/AC:H/PR:L/UI:R/S:U/C:N/I:N/A:L
トレンドマイクロのエンドポイント向け製品において、特権昇格による任意のファイル作成の脆弱性が確認されました。この脆弱性により、サービス拒否 (DoS) 攻撃が行われる可能性があります。この脆弱性の深刻度は低です。この脆弱性の悪用には対象のシステム上で低い権限でコードを実行できる必要があります。
対処方法
| 製品/コンポーネント/ツール | バージョン | 修正 | Readme |
|---|---|---|---|
| Apex One | 2019 | Readme | |
| Apex One SaaS |
9月アップデートで修正済み | Readme | |
| ウイルスバスター Corp. | XG CP | CP 6063 | Readme |
| ウイルスバスタービジネスセキュリティ | 10.0 SP1 | Patch 2342 | Readme |
| ウイルスバスタービジネスセキュリティサービス | 9月13日のアップデートで修正済み | - |
軽減要素
この種の脆弱性を悪用するには、一般的に攻撃者が脆弱な端末にアクセスできることが必要です。 信頼されたネットワークからのみアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。トレンドマイクロは、お客様にできるだけ早く最新のビルドにアップデートすることをお勧めしています
更新情報
2021年10月12日 公開2021年10月19日 CVSSのPRの評価を見直し(NからL)、スコアを2.5から2.2に変更いたしました。
