Sign In with your
Trend Micro Account
需要協助?
需要協助?

若您需要技術支援,請 按此建立案件。

安全性通告: Trend Micro Apex One與OfficeScan安全性弱點通告

    • 更新於:
    • 19 Mar 2020
    • 產品/版本:
    • Apex One 2019
    • OfficeScan XG
    • 作業系統:
    • All
概要

概要:

發布日期: 2020/3/16

弱點編號: CVE-2020-8467, CVE-2020-8468, CVE-2020-8470, CVE-2020-8598, CVE-2020-8599

作業系統: Windows

CVSS 3.0分數: 8.0-10.0
嚴重性: 高度

趨勢科技已經釋出Trend Micro Apex One OfficeScan XG的修補程式(CP)。此修補程式可修正舊版本產品中高嚴重度的安全性弱點。 

*請注意,這些弱點通常需要先直接存取具弱點的主機(實體或遠端)才可達成。我們強烈建議用戶盡快將產品更新至最新版本

詳情
Public

 詳情:

受影響版本:

產品

版本

平台

語言

Apex One (on premise)

2019

Windows

中、英文

OfficeScan

XG SP1

Windows

中、英文

XG (non-SP)

Windows

中、英文

 

 

解決方案:

趨勢科技已經發布修補程式以解決此弱點:

產品

更新後版本

說明

平台

可供下載日期

Apex One (on premise)

CP 2117 (英文)

CP 2117 (中文)

Readme

Windows

現在

OfficeScan

XG SP1 CP 5474 (英文)

XG SP1 CP 5474 (中文)

Readme

Windows

現在

XG CP 1988 (英文)

XG CP 1988 (中文)

Readme

Windows

現在

 

以上修正程式是解決本文所提及的諸項弱點之最低要求的版本,若後續有發表更新的產品更新或修正,我們也建議您安裝新推出的版本。
*用戶可至趨勢科技的下載中心查看並獲取產品所需的相關更新檔案。(Service Pack)

 

弱點詳情:

本修補程式可修正Apex One與OfficeScan XG中的以下弱點:

l  CVE-2020-8467: CVSS 9.1 (嚴重) – Apex OneOfficeScan的遷移工具(migration tool)組件中所包含的一個安全性漏洞,可能會允許遠端通過身分驗證的攻擊者在受影響的版本上執行任意代碼(RCE)

l  CVE-2020-8468: CVSS 8 () – Apex OneOfficeScan的用戶端受到內容驗證漏洞的影響,可能允許經過用戶認證的攻擊者取得某些用戶端元件的控制。

l  CVE-2020-8470CVSS 10(嚴重)–Apex One和OfficeScan伺服器中含有一個具有弱點的DLL檔案,攻擊者可能利用此弱點,以系統權限刪除伺服器上一些檔案。且此漏洞不需要身份驗證。

l  CVE-2020-8598CVSS 10(嚴重)-Apex OneOfficeScan伺服器中含有一個具有弱點的DLL檔案,該弱點可能允許遠端攻擊者以系統權限在受影響的主機上執行任意程式代碼。且此漏洞不需要身份驗證。

l  CVE-2020-8599CVSS 10(嚴重)–Apex OneOfficeScan伺服器中含有一個具有弱點的EXE執行檔,該弱點可能允許遠端攻擊者將資料寫入受影響的主機上的任意路徑並繞過ROOT帳號認證。且利用此漏洞不需要身份驗證。
 

由於以上弱點的嚴重性,趨勢科技建議用戶盡早安裝以上修補程式。

 

緩解要素:

以上攻擊方式通常需要透過存取具弱點的主機(實體或遠端)方可達成。除了維持主機保持更新外,我們也建議用戶定期檢查重要系統中的安全性原則與存取紀錄等,並讓主機處於最新的狀態。
然而,儘管一個完整的攻擊需要許多特定的條件配合達來完成,趨勢科技仍然強烈建議用戶盡早安裝此更新。

 

致謝:

趨勢科技感謝以下人員與趨勢科技一同針對本弱點揭露與分析所作出的貢獻。
Trend Micro Research

 
Premium
Internal
Partner
評價:
分類:
Upgrade; Update
解決方案ID:
000247809
評定這個解決方案
本文是否幫助解決您的問題?

感謝您的意見!

請留下您的Email方便進一步的聯繫,協助我們改進文章內容:
我們不會透過以上Email寄送任何可能騷擾您的垃圾信.

本意見調查系統為自動運作,將不會回覆如銷售、技術、產品等一般問題.

若您需要協助,請聯繫對應的技術支援窗口. 聯絡我們


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.