概要
Trend Micro Deep Security(以下、Deep Security)における XML External Entity(以下、XXE)に関する脆弱性の詳細、および対策について教えてください。
詳細
本脆弱性の存在が確認されているコンポーネント/バージョン
| 該当する脆弱性 | コンポーネント | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2019-9488
|
Deep Security Manager
| 12.0未満のバージョン | 6.8 | 中 |
※Trend Micro Deep Security as a Serviceは本脆弱性の影響を受けません。
脆弱性の概要
弊社製品Deep Securityにおいて次の脆弱性の存在が確認されました。
Deep Security Manager には、XML External Entityの脆弱性(CVE-2019-9488)が存在します。
当該 Deep Security Managerに有効化されている Deep Security Agentについて、管理者権限が悪意のあるユーザに奪取された場合に、そのDeep Security Agentから XXE攻撃を受ける可能性があります。
Deep Security Manager には、XML External Entityの脆弱性(CVE-2019-9488)が存在します。
当該 Deep Security Managerに有効化されている Deep Security Agentについて、管理者権限が悪意のあるユーザに奪取された場合に、そのDeep Security Agentから XXE攻撃を受ける可能性があります。
本問題は最新のアップデートリリースで修正しております。修正済みのバージョンは以下の「対処方法」を確認してください。
対処方法
本脆弱性は以下のUpdate Releaseで修正されています。
Deep Security 9.6 SP1 P1 U24以降 ダウンロードはこちら
Deep Security 10.0U20以降 ダウンロードはこちら
Deep Security 11.0U8以降 ダウンロードはこちら
Deep Security 11.3U1以降※ ダウンロードはこちら
Deep Security 9.6 SP1 P1 U24以降 ダウンロードはこちら
Deep Security 10.0U20以降 ダウンロードはこちら
Deep Security 11.0U8以降 ダウンロードはこちら
Deep Security 11.3U1以降※ ダウンロードはこちら
アップグレード手順はDeep Securityのオンラインヘルプを参照してください。
※Deep Security 11.3はFeature Releaseというリリース形態のバージョンです。Feature Releaseに関する詳細はこちらを参照してください。
