ビジネスサポートポータルアカウントでログイン
「アラート/アドバイザリ」Trend Micro Deep Securityにおける XML External Entityに関する脆弱性(CVE-2019-9488)  

「アラート/アドバイザリ」Trend Micro Deep Securityにおける XML External Entityに関する脆弱性(CVE-2019-9488)

    • 更新日:
    • 8 Nov 2019
    • 製品/バージョン:
    • Trend Micro Deep Security 10.0
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 9.5
    • Trend Micro Deep Security 9.6
    • OS:
    • Linux すべて
    • Windows すべて
概要
Trend Micro Deep Security(以下、Deep Security)における XML External Entity(以下、XXE)に関する脆弱性の詳細、および対策について教えてください。
詳細
Public

本脆弱性の存在が確認されているコンポーネント/バージョン

該当する脆弱性コンポーネントバージョン
CVSS3.0
スコア
深刻度
CVE-2019-9488
Deep Security Manager
12.0未満のバージョン6.8 中

※Trend Micro Deep Security as a Serviceは本脆弱性の影響を受けません。

脆弱性の概要

弊社製品Deep Securityにおいて次の脆弱性の存在が確認されました。

Deep Security Manager には、XML External Entityの脆弱性(CVE-2019-9488)が存在します。
当該 Deep Security Managerに有効化されている Deep Security Agentについて、管理者権限が悪意のあるユーザに奪取された場合に、そのDeep Security Agentから XXE攻撃を受ける可能性があります。
 
本問題は最新のアップデートリリースで修正しております。修正済みのバージョンは以下の「対処方法」を確認してください。

対処方法

本脆弱性は以下のUpdate Releaseで修正されています。

Deep Security 9.6 SP1 P1 U24以降   ダウンロードはこちら
Deep Security 10.0U20以降   ダウンロードはこちら
Deep Security 11.0U8以降  ダウンロードはこちら
Deep Security 11.3U1以降※ ダウンロードはこちら
 
アップグレード手順はDeep Securityのオンラインヘルプを参照してください。
 
※Deep Security 11.3はFeature Releaseというリリース形態のバージョンです。Feature Releaseに関する詳細はこちらを参照してください。
Premium
Internal
評価:
カテゴリ:
機能/仕様
Solution Id:
1122942
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!

いただいたご提案/ご意見に関して、トレンドマイクロから詳細確認のため、Eメールを送付させていただく場合がありますので、Eメールアドレスを入力してください:
入力いただいたEメールアドレスはソリューション改善のためだけに使用いたします.

*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド