概要
Release Date: June 7, 2016
Trend Micro Vulnerability Identifier(s): 2014-0024
CVSS Base Score: 9
CVE Number: TBA
Platform(s): Appliance
Trend Micro 已經發布了Trend Micro Deep Discovery Inspector (DDI) 產品重要的更新。更新解決了產品的漏洞問題,該漏洞可能允許攻擊者遠端執行任意代碼。
詳情
受影響版本:
| 產品 | 受影響版本 | 平台 | 語言 |
|---|---|---|---|
| Deep Discovery Inspector | 3.8 SP2 (3.82) | 硬體 | 英文 |
| Deep Discovery Inspector | 3.8 SP1 (3.81) |
硬體
|
英文
|
| Deep Discovery Inspector | 3.7 |
硬體
|
英文
|
解決方案
Trend Micro歸類了影響的風險等級,並發布以下方案來解決此問題:
| 產品 | Critical Patch 版本 | 說明 | 平台 | 影響等級 | 可用性 |
|---|---|---|---|---|---|
| Deep Discovery Inspector | 3.8 SP2 (3.82) CP 1203 | Readme | 硬體 | High | 立即 |
| Deep Discovery Inspector | 3.8 SP1 (3.81) CP 1226 | Readme |
硬體
| High | 立即 |
| Deep Discovery Inspector | 3.7 CP 1263 | Readme |
硬體
| High | 立即 |
漏洞詳細資料
此更新解決了Trend Micro Deep Discovery Inspector弱點,遠端攻擊者可能獲得root帳戶底下的執行代碼.注意,身份驗證(管理員密碼)才能利用此漏洞。
強烈建議客戶盡快更新到最新版本。
替代方案
遠端代碼執行通常需要直接存取受攻擊的機器,除了立即更新版本外,也建議限制存取的來源主機,並確認政策與其他安全元件維持在最新的版本。
然而,即使漏洞可能需要多個條件同時滿足才可能受到影響,Trend Micro仍強烈建議您在允許的情況下盡快更新版本。
感謝
Trend Micro感謝下列人員披露此問題,並與趨勢科技合作以幫助保護我們的客戶:
- k0rpr1t_z0mb1e working with Trend Micro’s Zero Day Initiative (ZDI)
外部參考
ZDI-CAN-3567
