セキュリティブログ

【脆弱性情報/JVN】トレンドマイクロの管理マネージャに複数の脆弱性

2017.11.02

独立行政法人 情報処理推進機構(IPA)さんおよび一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)さんから11月1日、「Trend Micro Control Managerにおける複数の脆弱性」について注意喚起がなされています。

トレンドマイクロ株式会社が提供する Trend Micro Control Manager には、アクセス制限不備や SQL インジェクションなど複数の脆弱性が存在するとのことです。

※以下、JVNさんウェブサイトより対策等抜粋です。

 

詳細情報

トレンドマイクロ株式会社が提供する Trend Micro Control Manager には、アクセス制限不備や SQL インジェクションなど複数の脆弱性が存在します。

想定される影響

想定される影響は各脆弱性により異なりますが、当該製品のユーザによって次のような影響を受ける可能性があります。

  • アクセスが許可されていない Control Manager サーバ上の ファイルにアクセスされる
  • 任意のコードを実行される
  • 任意の SQL 文を実行される

対策方法

パッチを適用する
開発者が提供する情報をもとに、パッチを適用してください。
開発者は、本脆弱性の対策として次のパッチをリリースしています。

  • Trend Micro Control Manager 6.0 Service Pack 3 Patch 2 Critical Patch (3600)

参考情報

JPCERT/CCからの補足情報

TippingPoint Zero Day Initiative で公開されている次のアドバイザリ群が、本件に該当します。

ZDI-17-493 (CVE-2017-11383) ZDI-17-494 (CVE-2017-11384) ZDI-17-495 (CVE-2017-11385) ZDI-17-496 (CVE-2017-11386) ZDI-17-497 (CVE-2017-11387)
ZDI-17-498 (CVE-2017-11388) ZDI-17-499 (CVE-2017-11388) ZDI-17-500 (CVE-2017-11389) ZDI-17-501 (CVE-2017-11390) ZDI-17-502 (CVE-2017-11391)

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2017-11383
CVE-2017-11384
CVE-2017-11385
CVE-2017-11386
CVE-2017-11387
CVE-2017-11388
CVE-2017-11389
CVE-2017-11390
CVE-2017-11391
JVN iPedia

 

※ここまで

本件情報、ご確認とご注意をよろしくお願いいたします。