Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「ServerProtect for Linux」に「OSコマンドインジェクション」の脆弱性

トレンドマイクロがLinuxサーバ向けに提供しているセキュリティ対策製品「ServerProtect for Linux」に「OSコマンドインジェクション」の脆弱性が明らかとなった。

「同3.0」に脆弱性「CVE-2020-24561」が明らかとなったもの。悪用には管理者権限が必要だが、リモートより任意のコードを実行されるおそれがあるという。共通脆弱性評価システム「CVSSv3」のベーススコアは「9.1」と評価されている。

同社はアドバイザリで脆弱性を公表。また周知に向けてJPCERTコーディネーションセンターへ報告した。

同社は、脆弱性を修正する「Critical Patch build 1633」をリリース。また管理コンソールに対するアクセスを信頼できるユーザーや接続元のみに制限するといった緩和策の実施を呼びかけている。

(Security NEXT - 2020/09/29 ) このエントリーをはてなブックマークに追加

PR

関連記事

PEARライブラリ「Archive_Tar」に脆弱性 - 「Drupal」などにも影響
「Chrome 92」で35件のセキュリティ修正
Oracle、四半期定例パッチを公開 - 脆弱性のべ342件を修正
「Windows」に権限昇格のゼロデイ脆弱性 - MSが詳細を調査
Linuxカーネルにroot権限を取得できる脆弱性 - 1Gバイト超のパス長処理で
「Citrix ADC」や「Citrix Gateway」に複数脆弱性 - 認証回避のおそれ
Adobeの複数製品に深刻な脆弱性 - 定例外でパッチ公開
「FortiManager」「FortiAnalyzer」に脆弱性 - root権限でコード実行のおそれ
Apple、macOSやスマートデバイス向けにセキュリティ更新
Windowsの「ポイントアンドプリント」にゼロデイ脆弱性 - PoC公開済み