ビジネスサポートポータルアカウントでログイン
アラート/アドバイザリ: ServerProtect for Linux 3.0の複数の脆弱性(CVE-2017-9032/9033/9034/9035/9036/9037)について  

アラート/アドバイザリ: ServerProtect for Linux 3.0の複数の脆弱性(CVE-2017-9032/9033/9034/9035/9036/9037)について

    • 更新日:
    • 25 Mar 2020
    • 製品/バージョン:
    • ServerProtect for Linux 3.0
    • OS:
    • Linux すべて
概要
ServerProtect for Linux 3.0の以下複数の脆弱性に関する製品への影響、および製品による対策を教えてください。


・CVE-2017-9032
・CVE-2017-9033
・CVE-2017-9034
・CVE-2017-9035
・CVE-2017-9036
・CVE-2017-9037
詳細
Public

脆弱性の概要

ServerProtectの複数の脆弱性を悪用し、攻撃者が中間者攻撃によってアップデートサーバになりすました悪意のある配信元から任意のコードを実行できる可能性があります。

 

本脆弱性は以下の脆弱性IDが割り振られています。

 

  • CVE-2017-9032
  • CVE-2017-9033
  • CVE-2017-9034
  • CVE-2017-9035
  • CVE-2017-9036
  • CVE-2017-9037

 

 

本脆弱性の影響を受けるServerProtect for Linuxのバージョンと修正モジュール

 

製品名バージョン影響度Critical Patch / 回避策
ServerProtect for Linux3.0ServerProtect for Linux 3.0 Critical Patch 1531

※ServerProtect for Linux 3.0 Critical Patch 1531 以上を適用するには事前に次のプログラムがインストールされている必要があります。

 

  • ServerProtect for Linux 3.0 Service Pack 1 Patch 7

    最新版製品ダウンロードページはこちら

注意事項

Trend Micro Control Manager (以下、Control Manager)でServerProtect を管理している場合、上記のCritical Patch を適用してもアップデートサーバおよびデータの整合性チェックは有効化されません。

また、Critical Patch の適用後に Control Manager へ登録した場合、初期設定では有効化されるアップデートサーバおよびデータの整合性チェックが無効化されます。

この動作は、Control Manager の初期設定ではデジタル署名ファイルをダウンロードしないため、データの整合性チェックを有効化したServerProtectがControl Managerからのアップデートに失敗する事象を回避する目的で行われます。

Control Managerからのアップデート時にも整合性チェックを有効化するには、以下の手順を実施します。

m_iCheckDigitalSignatureの設定変更は Control Manager の配信用コンポーネントを生成する機能を無効化している場合のみサポートいたします。

そのため、本設定を行うことによりActiveUpdateサーバへの通信トラフィック量が増加いたしますのでご注意ください。

Step 1 Control Manager側の設定変更

  1. Control Managerのインストールフォルダ(初期設定ではC:\Program Files (x86)\Trend Micro\Control Manager)に存在する、SystemConfiguration.xmlファイルをテキストエディタで開きます。
  2. 以下のパラメータを探し、初期設定値の"0"を"1"に変更します。

    <P Name="m_iCheckDigitalSignature" Value="0">

  3. SystemConfiguration.xmlファイルを上書き保存し、"Trend Micro Control Manager"サービスを再起動します。
  4. Control Manager上でアップデートを実施します。

Step 2 ServerProtect側の設定変更

  1. /opt/TrendMicro/SProtectLinux/tmsplx.xmlファイルをvi等のテキストエディタで開きます。
  2. 以下のパラメータを探し、初期設定値の"0"を"1"に変更します。

    <P Name="DigSig" Value="0">

  3. tmsplx.xmlファイルを上書き保存し、splxサービスを再起動します。

    service splx restart

  1. 手動アップデートモジュールをご利用の場合、上記の設定を行わないでください。手動アップデートモジュールにはデジタル署名ファイルが内包されていないため、上記設定を実施するとアップデートに失敗します。
  2. Control Managerからパターンファイル/エンジンの配信コマンドを実施した場合、アップデートはHTTP通信で実施されるのに対し、ServerProtectからControl Managerをアップデート元としてアップデートを実施した場合、HTTPS通信で実施されます。
  3. 上記設定を実施する前に、Control Managerからパターンファイル/エンジンを配信し、Control ManagerとServerProtectのパターン・エンジンを一致させておく事をお勧めします。ServerProtectのパターン・エンジンがControl Managerよりも古い状態で上記設定を実施した場合、Control Manager上にデジタル署名ファイルが存在しないパターン/エンジンのダウンロードをServerProtectが試みた結果として、最初のアップデートに失敗する可能性があります。
  4. デジタル署名チェックの検証を行う目的で、Control Manager上の全ての配信コンポーネントをデジタル署名付きでダウンロードさせたい場合、Control Manager上のキャッシュを削除します。詳しくは以下の製品Q&Aを参照してください。
Premium
Internal
Partner
評価:
カテゴリ:
アップデート/配信; Patch/Service Pack適用
Solution Id:
1117452
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド