製品・ソフトウェアに関する情報

JVN脆弱性詳細

Trend Micro NSC モジュールの Trend Micro Personal Firewall サービスにおけるアクセス制限を回避される脆弱性

Title	Trend Micro NSC モジュールの Trend Micro Personal Firewall サービスにおけるアクセス制限を回避される脆弱性
Summary	Trend Micro OfficeScan、Internet Security 2007 および 2008 で使用されている Trend Micro Network Security Component (NSC) モジュールの Trend Micro Personal Firewall サービスには、アクセス制限を回避される、およびファイアーウォールの設定を変更される脆弱性が存在します。
Possible impacts	ローカルユーザにより、変更されたクライアントを使用され巧妙に細工されたパケットを送信されることで、アクセス制限を回避される、およびファイアーウォールの設定を変更される可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Jan. 16, 2009, midnight
Registration Date	Dec. 20, 2012, 6:52 p.m.
Last Update	Dec. 20, 2012, 6:52 p.m.

CVSS2.0 : 警告
Score	4.6
Vector	AV:L/AC:L/Au:N/C:P/I:P/A:P

Affected System

トレンドマイクロ

internet security 2007

internet security 2008 17.0.1224

Trend Micro OfficeScan 8.0 SP1 Patch 1

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2008-3866	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3866
National Vulnerability Database (NVD)
2	CVE-2008-3866	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-3866

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
trendmicro
1	Critical Patch - Server Build 3191 and NSC module Build 1045	http://www.trendmicro.com/ftp/documentation/readme/OSCE8.0_SP1_Patch1_CriticalPatch_3191_Readme.txt

Change Log

No	Changed Details	Date of change
0	[2012年12月20日] 掲載	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2008-3866

Summary	The Trend Micro Personal Firewall service (aka TmPfw.exe) in Trend Micro Network Security Component (NSC) modules, as used in Trend Micro OfficeScan 8.0 SP1 Patch 1 and Internet Security 2007 and 2008 17.0.1224, relies on client-side password protection implemented in the configuration GUI, which allows local users to bypass intended access restrictions and change firewall settings by using a modified client to send crafted packets.
Summary	El servicio Trend Micro Personal Firewall (también conocido como TmPfw.exe) en los módulos Trend Micro Network Security Component (NSC, utilizado en Trend Micro OfficeScan 8.0 SP1 parche 1 e Internet Security 2007 y 2008 v17.0.1224, se basa en la protección de la contraseña del lado del cliente implementada en la configuración GUI, lo que permite a usuarios locales evitar las restricciones de de acceso previstas y cambiar las configuraciones del cortafuegos utilizando un cliente modificado que envía paquetes manipulados.
Publication Date	Jan. 22, 2009, 5:30 a.m.
Registration Date	Jan. 29, 2021, 1:41 p.m.
Last Update	April 23, 2026, 9:35 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:trend_micro:internet_security_2007::::::::
cpe:2.3:a:trend_micro:internet_security_2008:17.0.1224:::::::*
cpe:2.3:a:trend_micro:officescan:8.0:sp1::::::

Related information, measures and tools

No	URL	refsource
1	http://secunia.com/advisories/31160	PSIRT-CNA@flexerasoftware.com
2	http://secunia.com/advisories/33609	PSIRT-CNA@flexerasoftware.com
3	http://secunia.com/secunia_research/2008-43/	PSIRT-CNA@flexerasoftware.com
4	http://www.securityfocus.com/bid/33358	PSIRT-CNA@flexerasoftware.com
5	http://www.securitytracker.com/id?1021616	PSIRT-CNA@flexerasoftware.com
6	http://www.securitytracker.com/id?1021617	PSIRT-CNA@flexerasoftware.com
7	http://www.trendmicro.com/ftp/documentation/readme/OSCE8.0_SP1_Patch1_CriticalPatch_3191_Readme.txt	PSIRT-CNA@flexerasoftware.com
8	http://www.vupen.com/english/advisories/2009/0191	PSIRT-CNA@flexerasoftware.com
9	https://exchange.xforce.ibmcloud.com/vulnerabilities/48108	PSIRT-CNA@flexerasoftware.com
10	http://secunia.com/advisories/31160	af854a3a-2127-422b-91ae-364da2661108
11	http://secunia.com/advisories/33609	af854a3a-2127-422b-91ae-364da2661108
12	http://secunia.com/secunia_research/2008-43/	af854a3a-2127-422b-91ae-364da2661108
13	http://www.securityfocus.com/bid/33358	af854a3a-2127-422b-91ae-364da2661108
14	http://www.securitytracker.com/id?1021616	af854a3a-2127-422b-91ae-364da2661108
15	http://www.securitytracker.com/id?1021617	af854a3a-2127-422b-91ae-364da2661108
16	http://www.trendmicro.com/ftp/documentation/readme/OSCE8.0_SP1_Patch1_CriticalPatch_3191_Readme.txt	af854a3a-2127-422b-91ae-364da2661108
17	http://www.vupen.com/english/advisories/2009/0191	af854a3a-2127-422b-91ae-364da2661108
18	https://exchange.xforce.ibmcloud.com/vulnerabilities/48108	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List