公開日:2019/03/01 最終更新日:2019/03/01
JVNVU#91054129
ウイルスバスター コーポレートエディションにおける複数の脆弱性
トレンドマイクロ株式会社が提供するウイルスバスター コーポレートエディションには、複数の脆弱性が存在します。
- ウイルスバスター コーポレートエディション XG
- ウイルスバスター コーポレートエディション 11.0
トレンドマイクロ株式会社が提供するウイルスバスター コーポレートエディションには、コマンドインジェクション、情報漏えい、バッファオーバフロー、およびサービス運用妨害 (DoS) など複数の脆弱性が存在します。
想定される影響は各脆弱性により異なりますが、遠隔の第三者によって、次のような影響を受ける可能性があります。
- 任意のコマンドを実行される - CVE-2017-11393, CVE-2017-11394
- サーバ上の特定のファイルを取得される - CVE-2017-14083
- 中間者攻撃 (Man-in-the-Middle attack) により、任意のコードを実行される - CVE-2017-14084
- 特定の PHP ファイルが実行されている際に、PHP 情報を閲覧される - CVE-2017-14085
- 不正なリクエストを送られることで、実行プロセスが予期せず停止する、サービス運用妨害(DoS)攻撃を受ける - CVE-2017-14086
- ホストヘッダを偽装され、任意のサイトへ誘導される - CVE-2017-14087
- 任意のコードを実行される - CVE-2017-14088
- 特定の EXE ファイルを実行されたり、停止されたりする、サービス運用妨害(DoS)攻撃を受ける - CVE-2017-14089
パッチを適用する
開発者が提供する情報をもとに、パッチを適用してください。
開発者によると、次のビルド番号以降のパッチにおいて、各脆弱性への対策がされているとのことです。
CVE-2017-11393 および CVE-2017-11394 への対策を行ったパッチのビルド番号:
- ウイルスバスター コーポレートエディション XG Critical Patch ビルド 1641
- ウイルスバスター コーポレートエディション 11.0 Service Pack 1 Critical Patch ビルド 6392
- ウイルスバスター コーポレートエディション XG Critical Patch ビルド 1708
- ウイルスバスター コーポレートエディション 11.0 Service Pack 1 Critical Patch ビルド 6426
TippingPoint Zero Day Initiative で公開されている次のアドバイザリ群が、本件に該当します。
| ZDI-17-521 (CVE-2017-11394) | ZDI-17-522 (CVE-2017-11393) | ZDI-17-828 (CVE-2017-14088) | ZDI-17-829 (CVE-2017-14088) |
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2017-11393 |
|
CVE-2017-11394 |
|
|
CVE-2017-14083 |
|
|
CVE-2017-14084 |
|
|
CVE-2017-14085 |
|
|
CVE-2017-14086 |
|
|
CVE-2017-14087 |
|
|
CVE-2017-14088 |
|
|
CVE-2017-14089 |
|
| JVN iPedia |
|
