Loading...

ナレッジセンター


McAfee Email and Web Security (EWS) および McAfee Email Gateway (MEG)におけるGUI関連の脆弱性について
技術的な記事 ID:  KB80492
最終更新:  2014/02/13

概要

【対象製品】
 

McAfee Email Gateway 7.0
McAfee Email and Web Security 5.5/5.6

【問題の詳細】

McAfee Email and Web Security 5.5/5.6 (EWS) および McAfee Email Gateway 7.0 (MEG) において脆弱性が確認されました。
これらの脆弱性に対しての Hotfix がリリースされています。ご利用のソフトウェアに対応した Hotfix を適用ください。

EWS 5.5/5.6 および MEG 7.0 は適切に構成されたファイアウォール (F/W) の内側で使用する必要があり、外部からGUIへアクセスできないよう正しく構成されている場合には、外部から攻撃される危険性はありません。

ただし MEG 7.0 をご利用の場合、以下の2つの状況ともに当てはまる場合においては、インターネット側から攻撃を受けるリスクがあります。

  • Secure Web Delivery (SWD) の Secure Web Client 機能を有効にしている場合
  • インターネット側から SWD へのアクセスを許可するようにファイアウォールを構成している場合
【脆弱性に関する詳細】
  • Authentication bypass
    リモートの攻撃者が認証をバイパスし、管理者 (Admin) ユーザーの有効なセッション ID を得ることができます。管理者ユーザー権限を持った攻撃者はアプライアンスをコントロールすることができます。
  • Directory traversal
    偽装された URL を用いて、MEG 7.0 が実行されているシステム上の任意のファイルをダウンロードすることができます。ユーザーはファイルをダウンロードするためにログインは必要ありません。またファイルはどのユーザーでログインしても、root ユーザーのように公開することができます。
  • Reflected cross-site scripting (XSS)
    EWS 5.5/5.6 と MEG 7.0 では攻撃者が反射型 (Reflective) XSS を引き起こし、セッション トークンを取得することで、認証後のコンテンツにアクセスされる可能性があります。また、任意の Java Script を管理者のブラウザコンテキストとMcAfee Security Appliance Management コンソール / ダッシュボード内で実行することができます。
【解決策】

以下に記載の Hotfix を適用することで脆弱性を修正することができます。 Hotfix は弊社ダウンロードサイトよりダウンロード可能です。

プラットフォーム ファイル名 Hotfix 適用に必要なパッチ/バージョン
MEG 7.0 MEG-7.0h759601-2151.119.zip MEG 7.0.1 (Patch 1)
EWS 5.6 EWS-5.6h759921-2143.116.zip EWS 5.6 Patch 3
EWS 5.5 EWS-5.5h759991-2146.112.zip EWS 5.5 Patch 6

※ McAfee Email Gateway 6.7.x は本脆弱性は関連いたしません。

ファイルをダウンロードし、以下の Q&A ページに従って、Hotfix を適用ください。

KB80525: パッケージ(Patch等)インストール手順

以前のドキュメント ID

EW512050901

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

影響を受ける製品


Email & Web Security 5.6

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.