[公開日時:2019/10/28 (月) 11:00]
ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp. )において、
ディレクトリトラバーサルの脆弱性(CVE-2019-18187)を悪用した攻撃事例が確認されております。
現在サポート提供期間中の各バージョンについて、修正プログラム(Critical Patch)を準備させていただきましたので、
早期の適用をお願いいたします。
※ウイルスバスター Corp. 以外の製品では影響はありません。
■本脆弱性について
攻撃者は、本ディレクトリトラバーサルの脆弱性(CVE-2019-18187)を利用することで、
アップロードした任意のzip形式のファイルをウイルスバスター Corp. サーバ上の特定のフォルダ配下に展開することが可能となり、
管理コンソールで使用しているWebサービスアカウントでの任意コード実行が可能になります。
(このアカウントの権限はWebプラットフォームに依存しており、限定的な権限しか持たない場合があります。)
ただし、攻撃者がこの脆弱性を利用するためには、事前に管理コンソールへのユーザ認証の情報を把握している事が必要となります。
また、通常管理サーバは外部に公開されていないため、攻撃者はあらかじめ標的組織の内部ネットワークへ侵入し、
管理サーバへアクセス可能なクライアントの制御を奪取している事も必要となります。
攻撃者が外部からリモートで直接内部にあるウイルスバスター Corp. サーバ上のファイルを変更できる、という事ではありません。
本脆弱性については、以下製品Q&Aも併せてご確認ください。
- アラート/アドバイザリ:ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性
■対応方法
現在サポート提供期間中である、ウイルスバスター Corp. の各バージョンについて、
修正プログラム(Critical Patch)を準備させていただきました。
早期の適用をお願いいたします。
| 製品 | バージョン | 修正プログラム(Critical Patch) |
| ウイルスバスター Corp. | XG SP1 | Critical Patch 5427 |
| ウイルスバスター Corp. | XG | Critical Patch 1962 |
| ウイルスバスター Corp. | 11.0 | Critical Patch 6638 |
修正プログラム(Critical Patch)についてのサポートニュースも併せてご確認ください。
※ウイルスバスター Corp. 11.0 は、2019年11月27日をもって、無償サポートを終了いたします。
ウイルスバスター Corp. の後継製品であるTrend Micro Apex Oneへのバージョンアップ等もご検討ください。
■製品サポート情報
ご不明な点がございましたら、弊社サポートセンターまでお問合せください。
お問合せ方法については、こちらをご確認ください。
今後とも弊社製品をご愛顧くださいますよう、よろしくお願い申しあげます。