トレンドマイクロのInterScan Web Securityシリーズに複数の脆弱性

JPCERTコーディネーションセンター（Japan Computer Emergency Response Team Coordination Center：JPCERT/CC）は8月25日、「JVNVU#98542645: InterScan Web Security シリーズ製品に複数の脆弱性」において、トレンドマイクロのInterScan Web Securityシリーズ製品に複数の脆弱性が存在すると伝えた。

トレンドマイクロのウイルスバスタークラウドに複数の脆弱性、対策版が公開

これら脆弱性を悪用されると、攻撃者によって任意スクリプトの実行、ファイルの窃取や改ざん、任意コードの実行、認証の回避などを実施される危険性があるとされており、注意が必要。

脆弱性に関する情報は次のページにまとまっている。

Q&A | Trend Micro Business Support - アラート/アドバイザリ：InterScan Web Securityシリーズにおける管理画面関連サービスの脆弱性について

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

InterScan Web Security Virtual Appliance (IWSVA) 6.5
InterScan Web Security Suite (IWSS) 6.5 Linux版

脆弱性を修正するパッチは次のとおり。

InterScan Web Security Virtual Appliance 6.5向け - Service Pack 2 Patch 4 Critical Patch 1759
InterScan Web Security Suite 6.5 Linux版向け - Service Pack 2 Patch 2 (2020年10月提供予定)

InterScan Web Security Suite 6.5 Linux版向けのパッチは2020年10月の提供予定になっていることから、それまでは回避策を適用することが望まれる。InterScan Web Security Suite 5.6 Windows版は脆弱性が存在するモジュールを使用してないため、対象にはなっていない。