「Deep Security」などトレンド2製品に脆弱性 - 実証コードが公開済み

トレンドマイクロのセキュリティ対策製品「Trend Micro Deep Security」「Trend Micro Cloud One Workload Security」に複数の脆弱性が明らかとなった。すでに実証コードが公開されているという。

両製品においてLinux環境向けのエージェントに複数の脆弱性が存在することが判明したもの。すでに脆弱性の実証コードが公開されているという。Windows版は影響を受けない。

「CVE-2022-23120」はコードインジェクションの脆弱性。悪用されるとローカル環境において権限昇格が生じ、root権限を奪われるおそれがある。またディレクトリトラバーサル「CVE-2022-23119」を悪用されると任意のファイルを窃取されるという。

いずれも未アクティベート状態のエージェントへアクセスされた場合に影響を受ける。共通脆弱性評価システム「CVSSv3.1」のベーススコアはともに「7.0」。同社は脆弱性の重要度を「高」と評価している。

同社では、脆弱性の周知を目的にJPCERTコーディネーションセンターへ報告。利用者に対してアップデートが呼びかけられている。

（Security NEXT - 2022/01/25 ） ツイート

PR

関連記事

2022年4Qインシデント件数は減少 - ウェブ改ざんなど減少
Apple、「iOS 12.5.7」を公開 - 悪用済み脆弱性を解消
Apple、アップデート「iOS 16.3」などを公開 - 複数脆弱性を修正
保険福祉関連で2件の誤送信事故 - 群馬県
マルウェア感染でなりすましメールが送信 - 不動産仲介会社
「静岡銀行」装うフィッシング攻撃 - 取引目的の確認などと誘導
「Drupal」のコアやモジュールに脆弱性 - 情報漏洩のおそれ
2022年4Qの脆弱性届出 - ソフトとサイトいずれも減少
コラボレーションツール「Cisco Unified CM」に脆弱性
「Git」にアップデート、複数の深刻な脆弱性に対処