公開日:2021/01/14 最終更新日:2021/01/14

JVNVU#92683420
Apex One およびウイルスバスター コーポレートエディションにおける複数の脆弱性

概要

Apex One およびウイルスバスター コーポレートエディションには、複数の脆弱性があります。

影響を受けるシステム

  • Apex One 2019 CP8422 (Build 8400) より前のバージョン
  • Apex One SaaS
  • ウイルスバスター コーポレートエディション XG SP1 CP 5702より前のバージョン

詳細情報

Apex One およびウイルスバスター コーポレートエディションには、次の複数の脆弱性が存在します。

  • 認証バイパス (CWE-287) - CVE-2020-24563
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
    CVSS v2 AV:L/AC:L/Au:N/C:P/I:P/A:P 基本値: 4.6
  • 境界外読み取り (CWE-125) - CVE-2020-24564, CVE-2020-24565, CVE-2020-25770, CVE-2020-25771, CVE-2020-25772
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:H 基本値: 5.6
    CVSS v2 AV:L/AC:L/Au:S/C:P/I:P/A:P 基本値: 4.3
  • 二重解放 (CWE-415) - CVE-2020-25773
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値: 7.8
    CVSS v2 AV:L/AC:L/Au:N/C:P/I:P/A:P 基本値: 4.6
  • 境界外読み取り (CWE-125) - CVE-2020-25774
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値: 3.3
    CVSS v2 AV:L/AC:L/Au:N/C:P/I:N/A:N 基本値: 2.1
  • 権限昇格 (CWE-268) - CVE-2020-28572
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L 基本値: 5.7
    CVSS v2 AV:L/AC:L/Au:S/C:P/I:P/A:P 基本値: 4.3
  • 不適切な権限設定 (CWE-266) - CVE-2020-28573, CVE-2020-28576, CVE-2020-28577, CVE-2020-28582, CVE-2020-28583
    CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値: 5.3
    CVSS v2 AV:L/AC:L/Au:N/C:N/I:N/A:P 基本値: 2.1

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • ローカルの第三者によって、エージェントのアンロードオプションのプロセスを操作されることにより権限昇格されたり、コード実行されたりする - CVE-2020-24563
  • エージェントがインストールされた環境で、管理者権限を持たない第三者によって機微な情報が窃取される - CVE-2020-24564, CVE-2020-24565, CVE-2020-25770, CVE-2020-25771, CVE-2020-25772
  • 第三者によって、管理サーバ上で任意コードを実行される - CVE-2020-25773
  • 管理者権限を持たない第三者によって、管理サーバ内の機微な情報を窃取される - CVE-2020-25774
  • エージェントの再インストール時に、権限のないユーザに悪意のあるコードを実行される - CVE-2020-28572
  • 遠隔の第三者によって、認証不要でエージェントの総数の情報を窃取される - CVE-2020-28573, CVE-2020-28576, CVE-2020-28577, CVE-2020-28582, CVE-2020-28583

対策方法

パッチを適用する
開発者が提供する情報をもとに、パッチを適用してください。

  • Apex One 2019 CP8422 (Build 8400以降)
  • ウイルスバスター コーポレートエディション XG SP1 CP 5702以降
なお、Apex One SaaS は2020年8月 Update で修正されています。

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。