HOME情報セキュリティトレンドマイクロ株式会社製の製品における複数の脆弱性について(CVE-2020-8467等)

本文を印刷する

情報セキュリティ

トレンドマイクロ株式会社製の製品における複数の脆弱性について(CVE-2020-8467等)

最終更新日:2020年3月16日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

トレンドマイクロ株式会社が提供する製品に、以下の複数の脆弱性が確認されています。

  • Apex One とウイルスバスター コーポレートエディションの管理サーバに含まれているマイグレーションツールに、リモートコード実行を可能にする脆弱性 - CVE-2020-8467
  • Apex One とウイルスバスター コーポレートエディションおよびビジネスセキュリティのエージェントに、コンポーネントのダウンロード時の整合性チェックを回避する脆弱性 - CVE-2020-8468
  • Apex One とウイルスバスター コーポレートエディションおよびビジネスセキュリティのサーバに、システム権限レベルでサーバ上の任意のファイルを削除することを可能にする脆弱性 - CVE-2020-8470
  • Apex One とウイルスバスター コーポレートエディションおよびビジネスセキュリティにおけるサーバ上の脆弱性のあるDLLを悪用することにより、システム権限でリモートでの任意コード実行が可能になる脆弱性 - CVE-2020-8598
  • Apex One とウイルスバスター コーポレートエディションのサーバに、任意のファイルをアップロードすることを可能にする脆弱性 - CVE-2020-8599
  • ウイルスバスター ビジネスセキュリティのサーバに、ディレクトリトラバーサルの脆弱性 - CVE-2020-8600

この脆弱性が悪用された場合、遠隔の第三者によって、任意のコードを実行されたり、コンポーネントが改ざんされたりする可能性があります。

製品開発者が公表している情報をもとに、パッチを適用してください。

CVE-2020-8467 および CVE-2020-8468 に関して、すでに悪用が確認されており、今後被害が拡大するおそれがあるため、至急、対策を実施してください。

影響を受けるシステム

  • Trend Micro Apex One 2019 CP Critical Patch (ビルド 2117) より前のバージョン
  • ウイルスバスター コーポレートエディション XG SP1 CP Critical Patch (ビルド 5474) より前のバージョン
  • ウイルスバスター ビジネスセキュリティ 10.0 SP1 Patch (ビルド 2190) より前のバージョン
  • ウイルスバスター ビジネスセキュリティ 9.5 Critical Patch (ビルド 1525) より前のバージョン
  • ウイルスバスター ビジネスセキュリティ 9.0 SP3 Critical Patch (ビルド 4417) より前のバージョン

対策

1.脆弱性の解消 - 修正プログラムの適用

ベンダから提供されている修正プログラムを適用して下さい。詳細は下記リンクよりご確認ください。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

2020年3月16日 掲載