Trend Micro Control Manager 6.0 Service Pack 3 Patch 2 Critical Patch リリース、ZDIが発表した複数の脆弱性対応とのこと

Trend Micro Control Manager 6.0 Service Pack 3 Patch 2 Critical Patch を下記日程にて公開いたします。

■ 公開開始日
2017年3月22日(水)

■修正内容
今回の修正は以下の脆弱性への対応のCritical Patchとなります。

アラート/アドバイザリ : Trend Micro Control Manager に関するZDIから公表されたZDI-CAN-4112 他複数の脆弱性について

併せて付属の Readmeファイルをご覧ください。

■入手方法
本Critical Patchは次のページからダウンロードできます。
「最新版ダウンロードページ」

■導入手順
付属の Readmeファイルをご覧ください。

サポート情報 : トレンドマイクロ

   1.1 ファイル一覧
   ================
   A. 現在の問題の修正ファイル

   問題1: Hotfix 3506(VRTS140,VRTS144,VRTS146)
     レポート機能にディレクトリトラバーサル、情報流出、およびXML外部実体参照 
     (XXE) 処理に関する脆弱性が存在する問題

   修正1:
     本HotFixの適用後は、この問題が修正されます。
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   問題4: Hotfix 3505(TT353147)
     Control Managerから管理下の製品に、不審オブジェクトの誤ったWeb APIアドレス
     が配信される問題

   修正4:
     本HotFixの適用後は、管理下の製品の登録が完了後、Control Managerから製品に
     不審オブジェクトの正しいWeb APIアドレスが配信されるようになります。
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
	 機能: Hotfix 3504(TT358284)
     各国で使用する科学的記数法が異なることに起因してデータが誤って解釈されな
     いようにするため、Control Managerのレポートで大きな数字を扱う際は、科学的
     記数法を使用せずに完全な形で表示するようになります。   
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
   問題3: Hotfix 3503(TT359624)
     Control Managerのレポートに、ウイルスバスター Corp. IntelliTrapパターン
     ファイルの古いバージョンの比率が正しく表示されない問題

   修正3:
     本HotFixの適用後は、この問題が修正されます。
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~	 
   問題2: Hotfix 3502(TT359074)
     Control ManagerのWebコンソールで、ランサムウェア対策ウィジェットに表示され
     る感染ファイルの総数をクリックしても詳細情報が表示されない問題

   修正2:
     本HotFixの適用後は、この問題が修正されます。
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   問題1: (HotFix 3500)(TT-356602,TT-356595,TT-356267,TT-356265,TT-356101,TT-356100,TT-356098)
     [予約ダウンロード]、[手動ダウンロード]、[イベント通知] の各画面にSQLイン
     ジェクションの脆弱性が存在する問題

   修正1:
     本HotFixの適用後は、この問題が修正されます。
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   問題2:(HotFix 3500)(TT-343696)
     一部の画面で権限昇格の脆弱性が存在し、低い権限しか持たないユーザが、管理者
     によりアクセスを許可されていない画面にアクセスできる問題

   修正2:
     本HotFixの適用後は、管理者により定義されたWeb画面にのみユーザーのアクセス
     を許可できるようになり、この問題が修正されます。
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   問題3:(HotFix 3500)(TT-358073)
     一部のストアドプロシージャがMicrosoft SQL Server 2005でサポートされていな
     いデータタイプを使用していることに起因して、インストールが失敗する問題

   修正3:
     本HotFixの適用後は、ストアドプロシージャがアップデートされMicrosoft SQL 
     Server 2005でサポートされるようになり、この問題が修正されます。	 
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   機能1: (HotFix 3453)(TT-358534,TT-357987)
     エクスポートツールが強化され、不審オブジェクトリストを [FilterCRC] 列を
     含むCSVファイル形式でエクスポートできるようになります。

     インポートツールが強化され、[FilterCRC] 列を含むCSVファイル形式の不審
     オブジェクトリストをControl Managerにインポートできるようになります。

     以下のファイルが追加されます。
     - SuspiciousObjectExporter.exe
     - ImportSOFromCSV.exe
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   機能2: (HotFix 3453)(TT-358534,TT-357987)
     Control Managerのインストールフォルダ内の「SuspiciousObjectExporter」
     フォルダから以前のバージョンの「SuspiciousObjectExporter.exe」ファイルが
     削除され、「SOTools」フォルダに新しいバージョンのファイルが追加されます。
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
   問題: (HotFix 3451)(TT-358948)
     キュー内のログ数が2,147,483,647件を超えると、Control Managerでステータス
     ログを処理できなくなり、これによって製品ステータスをアップデートできなく
     なる問題

   修正:
     本HotFixの適用後は、Control Managerで最大9,223,372,036,854,775,807件の
     ログを処理できるようになります。
   ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~