【注意喚起】InterScan Web Securityシリーズにおける管理画面関連サービスの脆弱性について
[公開日時:2020/07/10 (金) 15:00]
[最終更新日時:2020/10/26 (月) 09:00]
InterScan Web Security Virtual Appliance 6.5 (以下、IWSVA)/InterScan Web Security Suite 6.5 Linux版(以下、IWSS)において、管理画面関連サービスに対する複数の脆弱性が確認されました。
■脆弱性の概要
以下、4件の脆弱性が確認されています。
攻撃者がこれらの脆弱性を利用するには、IWSVA/IWSSサーバのホスト名/IPアドレスの情報を入手し、IWSVA/IWSSサーバにアクセスできる必要があります。
外部から直接攻撃を受けるということではなく、内部に侵入された場合にこれらの脆弱性を利用されるリスクがございます。
なお、InterScan Web Security Suite 5.6 Windows版につきましては、これらの脆弱性が存在するモジュールを利用していないため、影響ありません。
・CVE-2020-8603
管理画面にクロスサイトスクリプティングの脆弱性が確認されています。
・CVE-2020-8604
内部で使用するログ管理用サービスにディレクトリトラバーサルの脆弱性が確認されています。
・CVE-2020-8605
管理画面にコマンドインジェクションの脆弱性が確認されています。
・CVE-2020-8606
内部で使用するログ管理用サービスに認証バイパスの脆弱性が確認されています。
■対処方法
リスク低減策として、ネットワークファイアウォールの機能等でIWSVA/IWSSサーバにアクセス可能なクライアントを制限するようお願いいたします。
また、恒久対策として、これらの脆弱性を修正するCritical Patchを準備しております。
Critical Patchがリリースされましたら、なるべく速やかに適用いただくようお願いいたします。
リリース予定等その他詳細につきましては、以下のQ&Aページをご参照ください。
[2020/7/27 追記]
IWSVA 6.5 SP2 Patch 4向けのCritical Patchをリリースいたしました。詳細はこちらをご参照ください。
[2020/10/26 追記]
IWSS 6.5 Linux Patch 2向けのCritical Patchをリリースいたしました。詳細はこちらをご参照ください。
■製品サポート情報
ご不明な点がございましたら、弊社サポートセンターまでお問合せください。
お問合せ方法については、こちらをご確認ください。
今後とも弊社製品をご愛顧くださいますよう、よろしくお願い申し上げます。
■更新履歴
| 日付 | 更新履歴 |
| 2020/07/10 |
新規公開 |
| 2020/07/27 |
IWSVAのCritical Patchのリリース情報追記 |
| 2020/10/26 |
IWSSのCritical Patchのリリース情報追記 |
