JVNVU#98890246
トレンドマイクロ株式会社製 InterScan Messaging Security シリーズにおける複数の脆弱性

トレンドマイクロ株式会社が提供する InterScan Messaging Security シリーズには、複数の脆弱性が存在します。

CVE-2020-27016, CVE-2020-27017 および CVE-2020-27019

• InterScan Messaging Security Virtual Appliance バージョン 9.1
• InterScan Messaging Security Suite Linux 版 バージョン 9.1

• InterScan Messaging Security Virtual Appliance バージョン 9.1

• InterScan Messaging Security Virtual Appliance バージョン 9.1
• InterScan Messaging Security Suite Linux 版 バージョン 9.1
• InterScan Messaging Security Suite Windows 版 バージョン 7.5

トレンドマイクロ株式会社が提供する InterScan Messaging Security シリーズには、次の複数の脆弱性が存在します。

• クロスサイトリクエストフォージェリ (CWE-352) - CVE-2020-27016

  CVSS v3

  CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

  基本値: 7.5

• XML 外部実体参照 (XXE) の不適切な制限 (CWE-611) - CVE-2020-27017

  CVSS v3

  CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:L/A:L

  基本値: 5.7

• サーバサイドリクエストフォージェリ (CWE-918) - CVE-2020-27018

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N

  基本値: 2.0

• 情報漏えい (CWE-200) - CVE-2020-27019

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

  基本値: 4.8

• 強度が不十分なパスワードハッシュの使用 (CWE-916) - CVE-2020-27693

  CVSS v3

  CVSS:3.0/AV:L/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:L

  基本値: 3.1

• メンテナンスされていないサードパーティライブラリの使用 (CWE-1104) - CVE-2020-27694

  CVSS v3

  CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:L

  基本値: 4.6

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 遠隔の第三者によって、マルウェアチェックやメールフィルタリングルールなどのポリシールールを不正に変更される - CVE-2020-27016
• 管理者権限を取得した遠隔の第三者によって、当該製品の任意のローカルファイルを読みとられる - CVE-2020-27017
• 管理者権限を取得した第三者によって、当該製品の Web サーバを経由して Web リソースや一部のローカルファイルにアクセスされる - CVE-2020-27018
• 第三者によって、当該製品のデータベース内の特定の情報や暗号鍵を搾取される - CVE-2020-27019
• 弱いハッシュアルゴリズムを使用しているため、第三者によってユーザのパスワードを解読される - CVE-2020-27693
• 遠隔の第三者によって、当該製品で使用している古いサードパーティライブラリの脆弱性を悪用される - CVE-2020-27694

パッチを適用する
開発者が提供する情報をもとに、パッチを適用してください。

ワークアラウンドを実施する
次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。

• 次のポートへの外部からのアクセスをブロックする
  • 8445/TCP ポート
  • 8446/TCP ポート
  • 8447/TCP ポート