公開日:2021/05/10 最終更新日:2021/05/14
JVNVU#97581596
トレンドマイクロ製 Apex One およびウイルスバスターシリーズにおける複数の脆弱性
トレンドマイクロ株式会社が提供する Apex One およびウイルスバスターシリーズには、複数の脆弱性が存在します。
- Apex One 2019, SaaS
- CVE-2021-25228, CVE-2021-25229, CVE-2021-25230, CVE-2021-25231, CVE-2021-25232, CVE-2021-25233, CVE-2021-25234, CVE-2021-25235, CVE-2021-25237, CVE-2021-25239, CVE-2021-25240, CVE-2021-25241, CVE-2021-25242, CVE-2021-25243, CVE-2021-25246, CVE-2021-25248, CVE-2021-25249
- ウイルスバスターコーポレートエディション XG SP1
- CVE-2021-25228, CVE-2021-25229, CVE-2021-25230, CVE-2021-25231, CVE-2021-25232, CVE-2021-25233, CVE-2021-25234, CVE-2021-25235, CVE-2021-25236, CVE-2021-25238, CVE-2021-25239, CVE-2021-25240, CVE-2021-25241, CVE-2021-25242, CVE-2021-25243, CVE-2021-25246, CVE-2021-25248, CVE-2021-25249
- ウイルスバスタービジネスセキュリティ 9.5 および 10 SP1
- CVE-2021-25228, CVE-2021-25231, CVE-2021-25233, CVE-2021-25234, CVE-2021-25236, CVE-2021-25238, CVE-2021-25239, CVE-2021-25240, CVE-2021-25241, CVE-2021-25242, CVE-2021-25243, CVE-2021-25244, CVE-2021-25245, CVE-2021-25246, CVE-2021-25248, CVE-2021-25249
- ウイルスバスタービジネスセキュリティサービス 6.7
- CVE-2021-25248, CVE-2021-25249
トレンドマイクロ株式会社が提供する Apex One およびウイルスバスターシリーズには、次の複数の脆弱性が存在します。
- アクセス制限の不備 (CWE-284) - CVE-2021-25228, CVE-2021-25229, CVE-2021-25230, CVE-2021-25231, CVE-2021-25232, CVE-2021-25233, CVE-2021-25234, CVE-2021-25235, CVE-2021-25237, CVE-2021-25238, CVE-2021-25239, CVE-2021-25240, CVE-2021-25242, CVE-2021-25243, CVE-2021-25244, CVE-2021-25245
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3 - サーバサイドリクエストフォージェリ (CWE-918) - CVE-2021-25236, CVE-2021-25241
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3 - アクセス制限の不備 (CWE-284) - CVE-2021-25246
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値: 6.5 - 領域外メモリ参照 (CWE-125) - CVE-2021-25248
CVSS v3 CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 2.5 - 領域外メモリへの書き込み (CWE-787) - CVE-2021-25249
CVSS v3 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値: 7.8
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 遠隔の第三者により、サーバや管理エージェントに関する情報を窃取される - CVE-2021-25228, CVE-2021-25229, CVE-2021-25230, CVE-2021-25231, CVE-2021-25232, CVE-2021-25233, CVE-2021-25234, CVE-2021-25235, CVE-2021-25237, CVE-2021-25238, CVE-2021-25239, CVE-2021-25240, CVE-2021-25242, CVE-2021-25243, CVE-2021-25244, CVE-2021-25245
- 遠隔の第三者により、サーバが接続するネットワークトポロジーに関する情報を窃取される - CVE-2021-25236、CVE-2021-25241
- 遠隔の第三者により偽のエージェントを作成され、不正な設定用クエリを実行される - CVE-2021-25246
- システムの一般権限を持つユーザにより、システム内に設定された名前付きパイプに関する情報を窃取される - CVE-2021-25248
- システムの一般権限を持つユーザにより、製品のインストール時に権限を昇格される - CVE-2021-25249
パッチを適用し、ツールを実行する
下記の製品については、開発者が提供する情報をもとにパッチを適用してください。開発者は、本脆弱性の対策として次のパッチをリリースしています。
- Apex One 2019
- CP9167
- ウイルスバスターコーポレートエディション XG SP1
- CP6040
- ウイルスバスタービジネスセキュリティ 10 SP1
- Patch 2274
アップグレードする
ウイルスバスタービジネスセキュリティについては、開発者が提供する情報をもとに、バージョン 10.0 SP1 Patch 2274 以降にアップグレードしてください。
なお、Apex One Saas は2021年1月アップデート (b9322) で、ウイルスバスタービジネスセキュリティサービスは2021年1月25日のメンテナンスで修正されています。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2021-25231 |
|
CVE-2021-25232 |
|
|
CVE-2021-25233 |
|
|
CVE-2021-25234 |
|
|
CVE-2021-25235 |
|
|
CVE-2021-25236 |
|
|
CVE-2021-25237 |
|
|
CVE-2021-25238 |
|
|
CVE-2021-25239 |
|
|
CVE-2021-25240 |
|
|
CVE-2021-25241 |
|
|
CVE-2021-25242 |
|
|
CVE-2021-25243 |
|
|
CVE-2021-25244 |
|
|
CVE-2021-25245 |
|
|
CVE-2021-25246 |
|
|
CVE-2021-25248 |
|
|
CVE-2021-25249 |
|
|
CVE-2021-25228 |
|
|
CVE-2021-25229 |
|
|
CVE-2021-25230 |
|
| JVN iPedia |
|
- 2021/05/14
- [詳細情報] の誤記を修正しました。
