公開日:2024/10/21 最終更新日:2024/10/21

JVNVU#93072012
Trend Micro Deep Discovery Inspector (DDI) における複数のSQLインジェクションの脆弱性

概要

Trend Micro Deep Discovery Inspector (DDI) には、複数のSQLインジェクションの脆弱性が存在します。

影響を受けるシステム

  • Trend Micro Deep Discovery Inspector (DDI) バージョン5.7から6.5まで
  • Trend Micro Deep Discovery Inspector (DDI) バージョン6.6 ビルド:2019より前
  • Trend Micro Deep Discovery Inspector (DDI) バージョン6.7 ビルド:2023より前

詳細情報

トレンドマイクロ株式会社からTrend Micro Deep Discovery Inspector (DDI)向けのアップデートが公開されました。

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。詳細についてはトレンドマイクロ株式会社が提供するアドバイザリを参照してください。

  • SQLインジェクションによる情報漏えい(CVE-2024-46902、CVE-2024-46903)

対策方法

パッチを適用する
開発者が提供する情報をもとにパッチを適用してください。
開発者は本脆弱性の対策として次のパッチをリリースしています。

  • Trend Micro Deep Discovery Inspector (DDI)
    • 5.8 SP1 Critical Patch(ビルド:2026)
    • 5.8 SP2 Critical Patch(ビルド:2022)
    • 6.0 Critical Patch(ビルド:2066)
    • 6.2 Critical Patch(ビルド:2039)
    • 6.5 Critical Patch(ビルド:2047)
    • 6.6 Critical Patch(ビルド:2019)
    • 6.7 Critical Patch(ビルド:2023)
開発者によると、Trend Micro Deep Discovery Inspector (DDI) バージョン5.7は2024年9月30日にサポートが終了したため、パッチはリリースされないとのことです。
サポート中のバージョンにアップグレードの上、上記いずれかのパッチを適用してください。

ベンダ情報

ベンダ リンク
トレンドマイクロ株式会社 アラート/アドバイザリ:SQLインジェクションによる情報漏えいの脆弱性について:Trend Micro Deep Discovery Inspector (2024年 9月)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia