ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

SPLX3 CVE-2020-24561 OSコマンドインジェクションの脆弱性 Critical Patch build 1633リリース

SPLX3 CVE-2020-24561 OSコマンドインジェクションの脆弱性が発見されたそうです。ベーススコアが高いので、なるべく早く対応したほうがよさそうです。

 

情報元はこちら。

【セキュリティ ニュース】「ServerProtect for Linux」に「OSコマンドインジェクション」の脆弱性(1ページ目 / 全1ページ):Security NEXT

 

以下は抜粋です。

 

トレンドマイクロLinuxサーバ向けに提供しているセキュリティ対策製品「ServerProtect for Linux」に「OSコマンドインジェクション」の脆弱性が明らかとなった。

「同3.0」に脆弱性「CVE-2020-24561」が明らかとなったもの。悪用には管理者権限が必要だが、リモートより任意のコードを実行されるおそれがあるという。共通脆弱性評価システム「CVSSv3」のベーススコアは「9.1」と評価されている。

同社はアドバイザリで脆弱性を公表。また周知に向けてJPCERTコーディネーションセンターへ報告した。

同社は、脆弱性を修正する「Critical Patch build 1633」をリリース。また管理コンソールに対するアクセスを信頼できるユーザーや接続元のみに制限するといった緩和策の実施を呼びかけている。

 

 

続いて、本家のサイトです。

Trend Micro Software Download Center

 

2020年8月30日にパッチが提供されています。

splx-30-lx-en-criticalpatch1633.tar.gz

 

パッチのインストール手順の抜粋です。

 

本リリースをインストールするには、次の手順に従ってください。

1. ServerProtectにrootでログオンします。

2. Critical Patchファイルをアップロードし、作業ディレクトリにコピーします。

例:
/home/workdir

3. 次のコマンドを実行して、Critical Patchファイルを解凍します。

# tar zxvf splx_30_lx_en_criticalpatch1633.tar.gz

4. Critical Patchを解凍したディレクトリに移動します。次のコマンドを実行しま
す。

#./install.sh

元ファイルが以下にバックアップされます。

/opt/TrendMicro/SProtectLinux/backup/cp1633

 

Anker PowerCore 10000 (10000mAh 最小最軽量 大容量 モバイルバッテリー)【PSE認証済/PowerIQ搭載】 iPhone&Android対応 2020年4月時点 (ブラック)