|
[English]
|
JVNDB-2023-001292
|
Trend Micro Apex One および Trend Micro Apex One SaaS における複数の脆弱性
|
|
トレンドマイクロ株式会社から、Trend Micro Apex One および Trend Micro Apex One SaaS 向けのアップデートが公開されました。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
|
|
|
トレンドマイクロ
- Apex One 2019
- Apex One as a Service
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。詳細については開発者が提供するアドバイザリを参照してください。
* 管理サーバーにおける任意ファイルの大量アップロード - CVE-2023-0587
* 管理サーバーのインストーラーにおけるファイル検索パスの逝去不備の脆弱性による任意のコード実行 - CVE-2023-25143
* 不適切なアクセス制御の脆弱性による権限昇格 - CVE-2023-25144
* リンク解釈の問題による権限昇格 - CVE-2023-25145
* リンク解釈の問題によるファイルの隔離、削除、任意の場所へのファイル配置 - CVE-2023-25146
* エージェントの保護機能をバイパスされる - CVE-2023-25147
* リンク解釈の問題による、シンボリックリンクを用いた権限昇格 - CVE-2023-25148
|
|
[パッチを適用する]
開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。
* Trend Micro Apex One 2019 Service Pack 1 リビルド版 (ビルド 11564)
開発者によると、Trend Micro Apex One SaaS は 2023 年 1 月のメンテナンス(セキュリティエージェント build 14.0.11960)で修正済みとのことです。
[ワークアラウンドを実施する]
次の軽減策を適用することで、本脆弱性の影響を軽減することが可能です。
* 当該製品へのアクセスを、信頼できるネットワークからのみに制限する
|
|
トレンドマイクロ
|
|
|
|
- CVE-2023-0587
- CVE-2023-25143
- CVE-2023-25144
- CVE-2023-25145
- CVE-2023-25146
- CVE-2023-25147
- CVE-2023-25148
|
|
- JVN : JVNVU#96221942
- National Vulnerability Database (NVD) : CVE-2023-0587
|
|
|
