SPLX3 CVE-2020-24561 OSコマンドインジェクションの脆弱性が発見されたそうです。ベーススコアが高いので、なるべく早く対応したほうがよさそうです。
情報元はこちら。
【セキュリティ ニュース】「ServerProtect for Linux」に「OSコマンドインジェクション」の脆弱性(1ページ目 / 全1ページ):Security NEXT
以下は抜粋です。
トレンドマイクロがLinuxサーバ向けに提供しているセキュリティ対策製品「ServerProtect for Linux」に「OSコマンドインジェクション」の脆弱性が明らかとなった。
「同3.0」に脆弱性「CVE-2020-24561」が明らかとなったもの。悪用には管理者権限が必要だが、リモートより任意のコードを実行されるおそれがあるという。共通脆弱性評価システム「CVSSv3」のベーススコアは「9.1」と評価されている。
同社はアドバイザリで脆弱性を公表。また周知に向けてJPCERTコーディネーションセンターへ報告した。
同社は、脆弱性を修正する「Critical Patch build 1633」をリリース。また管理コンソールに対するアクセスを信頼できるユーザーや接続元のみに制限するといった緩和策の実施を呼びかけている。
続いて、本家のサイトです。
Trend Micro Software Download Center
2020年8月30日にパッチが提供されています。
splx-30-lx-en-criticalpatch1633.tar.gz
パッチのインストール手順の抜粋です。
本リリースをインストールするには、次の手順に従ってください。
1. ServerProtectにrootでログオンします。
2. Critical Patchファイルをアップロードし、作業ディレクトリにコピーします。
例:
/home/workdir
3. 次のコマンドを実行して、Critical Patchファイルを解凍します。
# tar zxvf splx_30_lx_en_criticalpatch1633.tar.gz
4. Critical Patchを解凍したディレクトリに移動します。次のコマンドを実行しま
す。
#./install.sh
元ファイルが以下にバックアップされます。
/opt/TrendMicro/SProtectLinux/backup/cp1633