【注意喚起】ウイルスバスター コーポレートエディションの脆弱性(CVE-2019-18187)を悪用した攻撃を確認したことによる最新修正プログラム適用のお願い

[公開日時：2019/10/28 (月) 11:00]

ウイルスバスター コーポレートエディション(以下、ウイルスバスター Corp. )において、
ディレクトリトラバーサルの脆弱性（CVE-2019-18187）を悪用した攻撃事例が確認されております。

現在サポート提供期間中の各バージョンについて、修正プログラム（Critical Patch）を準備させていただきましたので、
早期の適用をお願いいたします。
※ウイルスバスター Corp. 以外の製品では影響はありません。

■本脆弱性について

攻撃者は、本ディレクトリトラバーサルの脆弱性（CVE-2019-18187）を利用することで、
アップロードした任意のzip形式のファイルをウイルスバスター Corp. サーバ上の特定のフォルダ配下に展開することが可能となり、
管理コンソールで使用しているWebサービスアカウントでの任意コード実行が可能になります。
（このアカウントの権限はWebプラットフォームに依存しており、限定的な権限しか持たない場合があります。）

ただし、攻撃者がこの脆弱性を利用するためには、事前に管理コンソールへのユーザ認証の情報を把握している事が必要となります。

また、通常管理サーバは外部に公開されていないため、攻撃者はあらかじめ標的組織の内部ネットワークへ侵入し、
管理サーバへアクセス可能なクライアントの制御を奪取している事も必要となります。

攻撃者が外部からリモートで直接内部にあるウイルスバスター Corp. サーバ上のファイルを変更できる、という事ではありません。

本脆弱性については、以下製品Q&Aも併せてご確認ください。

• アラート/アドバイザリ：ウイルスバスターコーポレートエディションにおける任意のファイルアップロードを可能にするディレクトリトラバーサルの脆弱性





■対応方法

現在サポート提供期間中である、ウイルスバスター Corp. の各バージョンについて、
修正プログラム（Critical Patch）を準備させていただきました。
早期の適用をお願いいたします。




製品	バージョン	修正プログラム（Critical Patch）
ウイルスバスター Corp.	XG SP1	Critical Patch 5427
ウイルスバスター Corp.	XG	Critical Patch 1962
ウイルスバスター Corp.	11.0	Critical Patch 6638




修正プログラム（Critical Patch）についてのサポートニュースも併せてご確認ください。

• ウイルスバスター コーポレートエディション XG Critical Patch (ビルド 5427)、(ビルド 1962) および 11.0 Service Pack 1 Critical Patch (ビルド 6638) 公開のお知らせ



※ウイルスバスター Corp. 11.0 は、2019年11月27日をもって、無償サポートを終了いたします。
ウイルスバスター Corp. の後継製品であるTrend Micro Apex Oneへのバージョンアップ等もご検討ください。





■製品サポート情報

ご不明な点がございましたら、弊社サポートセンターまでお問合せください。
お問合せ方法については、こちらをご確認ください。




今後とも弊社製品をご愛顧くださいますよう、よろしくお願い申しあげます。