概要
Trend Micro Virtual Patch for Endpoint(以下、TMVP)における XML External Entity(以下、XXE)に関する脆弱性の詳細、および対策について教えてください。
詳細
本脆弱性の存在が確認されているコンポーネント/バージョン
| 該当する脆弱性 | コンポーネント | バージョン |
CVSS3.0
スコア | 深刻度 |
|---|---|---|---|---|
|
CVE-2019-9488
|
TMVP Manager
| 2.0 SP2 Patch7 以下 | 6.8 | 中 |
脆弱性の概要
弊社製品TMVPにおいて次の脆弱性の存在が確認されました。
脆弱性:
TMVP Manager には、XML External Entityの脆弱性(CVE-2019-9488)が存在します。
当該 TMVP Managerに有効化されている TMVP Agentについて、管理者権限が悪意のあるユーザに奪取された場合に、そのTMVP Agentから XXE攻撃を受ける可能性があります。
脆弱性:
TMVP Manager には、XML External Entityの脆弱性(CVE-2019-9488)が存在します。
当該 TMVP Managerに有効化されている TMVP Agentについて、管理者権限が悪意のあるユーザに奪取された場合に、そのTMVP Agentから XXE攻撃を受ける可能性があります。
本問題は最新のアップデートリリースで修正しております。修正済みのバージョンは以下の「対処方法」を確認してください。
対処方法
本脆弱性は以下のTMVP Patch7 Critical Patchにて修正されています。ダウンロードはこちらとなります(本Critical PatchはManagerのみが対象となります)。
アップグレード手順はReadmeもしくはこちらの製品Q&Aを参照してください。
