最終更新日: 2019/10/30
情報源
Japan Vulnerability Notes JVNVU#99059651
トレンドマイクロ株式会社製の複数の製品における XML 外部実体参照 (XXE) に関する脆弱性
https://jvn.jp/vu/JVNVU99059651/
概要
複数のトレンドマイクロ製品には、XML 外部実体参照 (XXE) に関する脆弱性があります。結果として、第三者が該当製品に有効化されている各 agent の管理者権限を奪取した場合に、その agent を通じて XXE 攻撃を行う可能性があります。
対象となる製品およびバージョンは次のとおりです。
– Trend Micro Deep Security Manager 12.0 より前のバージョン
– Trend Micro Virtual Patch for Endpoint Manager 2.0 SP2 Patch7 およびそれ以前
なお開発者によると、Trend Micro Deep Security as a Service は本脆弱性の影響を受けないとのことです。
この問題は、該当する製品をトレンドマイクロ株式会社が提供する修正済みのバージョンに更新するか、パッチを適用することで解決します。詳細は、トレンドマイクロ株式会社が提供する情報を参照してください。
関連文書 (日本語)
トレンドマイクロ株式会社
「アラート/アドバイザリ」Trend Micro Deep Securityにおける XML External Entityに関する脆弱性(CVE-2019-9488)
https://success.trendmicro.com/jp/solution/1122942
トレンドマイクロ株式会社
「アラート/アドバイザリ」Trend Micro Virtual Patch for Endpointにおける XML External Entityに関する脆弱性(CVE-2019-9488)
https://success.trendmicro.com/jp/solution/1123774
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2019-10-30」
https://www.jpcert.or.jp/wr/2019/wr194201.html