公開日:2019/11/26 最終更新日:2019/11/27

JVNVU#94282488
トレンドマイクロ株式会社製の複数の製品に複数の脆弱性

概要

トレンドマイクロ株式会社製の複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

  • Trend Micro Deep Security Manager
  • Trend Micro Deep Security Agent
  • Trend Micro Virtual Patch for Endpoint(TMVP) Manager 2.0 SP2 Patch7 Critical Patch およびそれ以前のバージョン
開発者によると、Trend Micro Deep Security Agent は Windows 版のみ影響を受けるとのことです。

詳細情報

  • Trend Micro Deep Security Manager および Trend Micro Virtual Patch for Endpoint(TMVP) Manager の LDAP 通信において暗号化されていない通信が行われる脆弱性 - CVE-2019-15626
    CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8
    CVSS v2 AV:N/AC:H/Au:N/C:C/I:N/A:N 基本値: 5.4
  • Trend Micro Deep Security Agent における任意のファイルが削除される脆弱性 - CVE-2019-15627
    CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H 基本値: 6.1
    CVSS v2 AV:L/AC:L/Au:S/C:N/I:P/A:C 基本値: 5.2

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 特定の条件において暗号化されていない LDAP 通信が行われ、情報が漏えいする - CVE-2019-15626
  • Trend Micro Deep Security Agent が稼働しているサーバ上の任意のファイルを削除される - CVE-2019-15627

対策方法

アップデートする、あるいはパッチを適用する
開発者が提供する情報をもとに最新版にアップデートするか、対応するパッチを適用してください。

ベンダ情報

ベンダ リンク
トレンドマイクロ株式会社 アラート/アドバイザリ:Trend Micro Deep Security における StartTLS LDAP機密性(CVE-2019-15626)およびローカルの任意ファイルのオーバーライドに関する脆弱性(CVE-2019-15627)について
トレンドマイクロ株式会社 アラート/アドバイザリ:Trend Micro Virtual Patch for Endpoint における StartTLS LDAP機密性(CVE-2019-15626)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-15626
CVE-2019-15627
JVN iPedia

更新履歴

2019/11/27
CVE-2019-15627 の CVSS の評価を修正しました