ビジネスサポートポータルアカウントでログイン
アラート/アドバイザリ : Deep Discovery Inspector における XSS と認証バイパスの脆弱性について  

アラート/アドバイザリ : Deep Discovery Inspector における XSS と認証バイパスの脆弱性について

    • 更新日:
    • 17 Jul 2017
    • 製品/バージョン:
    • Deep Discovery Inspector 3.5
    • Deep Discovery Inspector 3.7
    • Deep Discovery Inspector 3.8
    • OS:
    • Appliance すべて
    • Virtual Appliance すべて
概要
Deep Discovery Inspector (以下、DDI) における XSS の脆弱性 (CVE-2015-2872) と認証バイパスの脆弱性 (CVE-2015-2873) について教えてください。
詳細
Public

脆弱性の概要

各脆弱性の概要については以下のとおりです。
  • CVE-2015-2872 (クロスサイトスクリプティング (XSS) の脆弱性)
    • セキュリティレベルが低に設定された、Internet Explorer (IE) 7 など一部の古いブラウザを使用している場合、認証されていないユーザ (unauthenticated user) がリモートから index.php 経由で不正なスクリプトを実行できてしまう可能性がある
    • ウィジェットの実装上の脆弱性によって、認証されていないユーザ (unauthenticated user) がリモートから不正なスクリプトを実行できてしまう可能性がある
  • CVE-2015-2873 (認証バイパスの脆弱性) : 特定の URL を使用することにより、管理コンソールへのアクセス権がないユーザでも、管理コンソールへのアクセスができてしまう可能性がある

製品への影響

これらの脆弱性の影響を受けるバージョン、および対応する Critical Patch は以下のとおりです。記載されていないバージョンについては、影響を受けません。
 
バージョン対応策
3.5Critical Patch (Build 1554) リリース (2015/08/20)
3.7Critical Patch (Build 1228) リリース (2015/08/20)
3.8Critical Patch (Build 2047) リリース (2015/08/20)
Premium
Internal
評価:
カテゴリ:
Patch/Service Pack適用
Solution Id:
1112288
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド