インターステラの阿形です。

毎週金曜日に1週間のセキュリティ情報をまとめていこうと思い、書き始めたこの「セキュリティまとめ」
思ったように進められず、前回から約2ヶ月弱空いてしまいましたが、前回からの間で目についたものをピックアップします。

今回ピックアップしたものは以下のとおりです。

・トレンドマイクロ株式会社製ウイルスバスター クラウドのインストーラにおける複数の脆弱性
・トレンドマイクロ株式会社製ウイルスバスター クラウドのインストーラにおける複数の脆弱性
・Atlassian 製 Bitbucket にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性
・Movable Type における複数のクロスサイトスクリプティングの脆弱性
・Apache Tomcat に対するアップデート

それぞれ順番に見ていきましょう。

トレンドマイクロ株式会社製ウイルスバスター クラウドのインストーラにおける複数の脆弱性

ウイルスバスタークラウドのインストーラーにおいて複数の脆弱性があり、管理者権限を取得され、任意のコードを実行される可能性があります。
ただし、影響を受けるのはインストーラーを起動したときのみのため、インストール済みのものは対応の必要はありません。

対象となるのはウイルスバスタークラウドのバージョン15と16です。
対策としてバージョン16の最新版へのアップデートが推奨されています。

トレンドマイクロ株式会社製スマートホームスキャナー (Windows 版) に DLL 読み込みに関する脆弱性

スマートホームスキャナーでの脆弱性で、管理者権限で任意のコードを実行される可能性があります。
スマートホームスキャナーがインストールされたWindowsにログインできる者でないと、この脆弱性を利用して攻撃を行うことはできません。
このため影響としては限定的だと思いますが、忘れず最新版へのアップデートを行っておきましょう。

Atlassian 製 Bitbucket にインストールディレクトリの ACL 設定不備による権限昇格の脆弱性

対象はオンプレミス型かつWindows版のBitbucketのみです。Linux版やAtlassianのクラウドサービスを利用している方には影響はありません。
対策としては最新版へのアップデートが推奨されていますので、以下の対象となるバージョンを利用している場合はアップデートしておきましょう。

Bitbucket 6.10.9 より前のバージョン
Bitbucket 7.6.4 より前のバージョン
Bitbucket 7.7.x 系すべてのバージョン
Bitbucket 7.8.x 系すべてのバージョン
Bitbucket 7.9.x 系すべてのバージョン
Bitbucket 7.10.0

Movable Type における複数のクロスサイトスクリプティングの脆弱性

Movable Typeに複数のクロスサイトスクリプティングの脆弱性が報告されています。
いずれも最新版へのアップデートが推奨されています。以下のバージョンを利用している方は最新版へアップデートをしておきましょう。

Movable Type 7 r.4705 およびそれ以前 (Movable Type 7系)
Movable Type Advanced 7 r.4705 およびそれ以前 (Movable Type Advanced 7系)
Movable Type 6.7.5 およびそれ以前 (Movable Type 6.7系)
Movable Type Premium 1.39 およびそれ以前
Movable Type Premium Advanced 1.39 およびそれ以前

Apache Tomcat に対するアップデート

Apache Tomcatの2件の脆弱性に対応するアップデートが公開されました。
最新版へのアップデートが推奨されています。
脆弱性は遠隔の第三者により任意のコードを実行される、あるいは他のユーザーのリクエストに対する結果を参照されるといったものです。

今回のまとめは以上です。
最近トレンドマイクロ社に関連する報告が多い印象です。セキュリティ製品ベンダーとして攻撃者に狙われているんでしょうか。
こちらのまとめで取り上げた以外にも多数の脆弱性の報告が上がっています。JVNなどの情報源をチェックし、問題がないか確認しておきましょう。