概要
ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp. )11.0 Service Pack 1 (以下、SP1 )、XG 、XG SP1と、ウイルスバスター ビジネスセキュリティ(以下、ビジネスセキュリティ)9.0、9.5、10.0 で確認された、ディレクトリトラバーサルの脆弱性(CVE-2019-9489)の製品への影響と対応策について教えてください。
詳細
本脆弱性情報の公開日
2019年4月4日
脆弱性の概要
ウイルスバスター Corp. 11.0 SP1 、XG 、XG SP1とビジネスセキュリティ9.0、9.5、10.0 において、ディレクトリトラバーサルの脆弱性が確認されました。
この脆弱性を利用することで、攻撃者はウイルスバスター Corp. サーバ、もしくはビジネスセキュリティサーバの任意のファイルを変更することができる可能性があります。
この脆弱性に対応するために、新しいCritical Patch(以下、CP)を公開しています。
影響を受ける製品
次の製品で脆弱性の影響が確認されました。
影響する製品/サービス
| 製品/サービス名 | バージョン | 影響度 | CVSS3.0 スコア | 備考 |
|---|---|---|---|---|
| ウイルスバスター Corp. |
XG SP1、XG、11.0 SP1 | 高 | 7.5 | |
| ビジネスセキュリティ | 10.0、9.5、9.0 | 高 | 7.5 |
対応方法
本脆弱性を修正した修正プログラムを公開しています。
| 製品名 | バージョン | 修正 |
|---|---|---|
| ウイルスバスター Corp. | XG SP1 XG 11.0 SP1 | CP 5338 以降のビルド CP 1933 以降のビルド
CP 6598 以降のビルド
|
| ビジネスセキュリティ | 10.0 9.5 9.0 | Patch 1531以降のビルド CP 1487以降のビルド
CP 4394以降のビルド
|
お使いの環境が、対象バージョンに該当するか確認するには、下記FAQの確認方法でご確認をお願いします。
各製品を最新版へバージョンアップする流れは、下記FAQの確認方法でご確認をお願いします。
注意:上記に記載のないサポート外の旧バージョンをご利用のお客様については、サポート期間内のバージョンへバージョンアップを行うことを強く推奨します。
脆弱性情報
このディレクトリトラバーサルの脆弱性を利用することで、攻撃者はウイルスバスター Corp. サーバ、もしくはビジネスセキュリティサーバの任意のファイルを変更することができます。
軽減要素
本脆弱性を利用するには、攻撃者はウイルスバスター Corp.サーバ、もしくはビジネスセキュリティサーバに、ネットワーク経由でアクセスする必要があります。
信頼されたネットワークからのみサーバへのアクセスを許可することで、本脆弱性が利用される可能性を軽減することができます。
参照情報
CVE-2019-9489
更新履歴
- 2019/09/11:[更新履歴]セクションを追記。
- 2019/09/10:[対応方法]セクションにバージョン確認方法およびバージョンアップ手順の製品Q&Aを追記。
