Loading...

ナレッジセンター


マカフィーセキュリティ情報 - Verizon報告のePolicy Orchestratorにおける2つの脆弱性を修正
セキュリティ情報 ID:  SB10042
最終更新:  2014/02/13
評価:


概要

概要:
このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の種類 root ユーザーとしてのリモートからのコード実行
ディレクトリ・トラバーサル
 CVE 番号: CVE-2013-0140
CVE-2013-0141
 US CERT 番号: VU #209131
重大度: 1:高
2:低
CVSSスコア: 6.2
3.4
推奨する対策: 必要に応じてパッチ、Hotfixのインストール
セキュリティ情報の修正: なし
備考: なし
影響のある製品: ePO 4.5 (RTW) to ePO 4.5.6
ePO 4.6 (RTW) to ePO 4.6.5
最新のソフトウェア入手: http://www.mcafee.com/us/downloads

説明

詳細:

2つのePolicy Orchestrator(ePO)の脆弱性が同一の発見者によって報告されました:

  • VESVM-2013-001 - RCE McAfee ePO and RCE on Managed Stations
  • VESVM-2013-002 - McAfee ePO Pre-Auth File Path Traversal

要約しますと、これらの脆弱性は、情報の不正開示、不正な変更、またはサービスが中断される可能性があります。

  • VESVM-2013-001 - RCE McAfee ePO and RCE on Managed Stations
    この脆弱性は、ePOサーバー側のエージェントハンドラコンポーネントにおける認証前に実行可能なSQLインジェクション(エージェント - サーバ間通信チャネル)です。当脆弱性が利用された場合、リモートからコードが実行される(RCE)恐れがあります。

    攻撃は、ePOサーバへ不正なエージェントを登録し、ePOサーバに細工された要求を送信することによって行われます。これにより、攻撃者はリモートからSYSTEM権限でコードを実行することができます。

    CVE-2013-0140
    VESVM-2013-001 - RCE McAfee ePO and RCE on Managed Stations
    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0140
     
  • VESVM-2013-002 - McAfee ePO Pre-Auth File Path Traversal
    この脆弱性は、ePOサーバー側のファイルアップロードプロセスにおける認証前に実行可能なディレクトリパストラバーサルです。当脆弱性が利用された場合、ePOのインストールフォルダ以下に任意のファイルアップロードが行われる恐れがあります。

    攻撃は、ePOサーバへ不正なエージェントを登録し、ePOサーバに細工された要求を送信することによって行われます。想定されるシナリオとしては、ePOインストールフォルダのSoftwareフォルダ以下に悪意のあるファイルをアップロードされる可能性があります。

    CVE-2013-0141
    VESVM-2013-002 - McAfee ePO Pre-Auth File Path Traversal
    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0141
     
  • US-CERT Vulnerability Note VU#209131
    http://www.kb.cert.org/vuls/id/209131

これらの問題はePO5.0、4.6.6、および4.5.7で解決されます。

注:ePOの4.5.7は、2013年5月23日(米国)にリリースされました。

  • ePOの4.5.6の修正プログラム(HF130410)は2013年4月22日にリリースされました。
  • ePOの4.6.6は、2013年3月26日にリリースされました。
  • ePOの5.0は、2013年3月25日にリリースされました。

修正

解決策:

ePO4.5/4.6においてパッチ4.5.7/パッチ4.6.6を適用することによりこの問題は解決します。

注意: ePO FIPS ユーザーは ePO 4.6.4 (FIPS証明された最新のePOビルド) 用の ePOHF130514.zip が必要となります。これを入手するにはマカフィーテクニカルサポートに連絡してください。

製品 種類 ファイル名 リリース日
ePO 4.5.7 Patch EPO457L.zip 2013年5月23日
ePO 4.6.6 Patch EPO466L.zip 2013年3月26日

McAfee ePO のダウンロード手順

  1. Internet Explorer を起動します。
  2. http://www.mcafee.com/us/downloads にアクセスします。
  3. 有効な承認番号を入力します。
  4. 製品を選択し View Available Downloads をクリックします。
  5. McAfee ePolicy Orchestrator をクリックします。
  6. Patches タブをクリックするか、Software Downloads 画面にあるDownloadの下の製品Zipファイルをダウンロードするリンクをクリックします。

マカフィーの製品、ドキュメント、セキュリティアップデート、パッチ、またはホットフィクスのダウンロードに関する詳細は KB56057 をご参照ください。

本パッチのインストール / アップグレード方法については、リリースノートおよびインストールガイド (いずれも Documentation タブから入手可能) をご参照ください。

回避策

回避策:

現在、回避策はありません。

よくある質問(FAQ)

どのマカフィー製品が、このセキュリティ上の脆弱性による影響を受けますか?

・影響あり

  • ePO 4.5 Patchなし~  ePO 4.5.6
  • ePO 4.6 Patchなし~  ePO 4.6.5 

・影響なし

  • ePO 4.5.7 以降
  • ePO 4.6.6 以降
  • ePO 5.0 Patchなし以降

弊社は最新のPatch/Hotfixの適用を推奨しています。

これらのパッチとHotfixは何の問題に対して対処したものですか?

  • CVE-2013-0140 - VESVM-2013-001 - RCE McAfee ePO and RCE on Managed Stations
  • CVE-2013-0141 - VESVM-2013-002 - McAfee ePO Pre-Auth File Path Traversal 

この脆弱性は、マカフィーエンタープライズ製品に影響を及ぼしますか?
A:はい、エンタープライズ製品であるePO に影響を及ぼします

私のマカフィー製品が脆弱であるかどうかはどのように知ることができますか?
ePO のコンソールをブラウザで表示すると、タイトルバーにバージョン情報が表示されます。

CVSSとは何ですか?

A:CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

使用されるCVSSスコアリングメトリクスは何ですか?

VESVM-2013-001 - RCE McAfee ePO and RCE on managed Stations

 Base Score 7.9
 Related exploit range (AccessVector) Adjacent Network
 Attack complexity (AccessComplexity) Medium
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 6.2
 Availability of exploit (Exploitability) Proof of concept code
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

VESVM-2013-002 - McAfee ePO Pre-Auth File Path Traversal

 Base Score 4.3
 Related exploit range (AccessVector) Adjacent Network
 Attack complexity (AccessComplexity) Medium
 Level of authentication needed (Authentication) None
 Confidentiality impact Partial
 Integrity impact Partial
 Availability impact None
 Temporal Score 3.4
 Availability of exploit (Exploitability) Proof of concept code
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:P/RL:O/RC:C

マカフィーは、問題を解決するために何をしましたか?

このセキュリティ上の欠陥は、ePO 5.0、4.6.6 および4.5.7 で修正されます。
ePO5.0、4.6.6、4.5.7 は既にリリースされています。

修正プログラムはどこでダウンロードすればいいですか?

修正プログラムは http://www.mcafee.com/us/downloads から入手できます。ダウンロードには有効な承認番号が必要となります。

この問題を解決するためにマカフィーが実施した対策は?

マカフィーは、最も安全なソフトウェアをお客様に提供することを信条とし、このセキュリティ欠陥を修正するアップデートを提供しています。

リソース

新しいベータ ソフトウェアをダウンロードあるいはベータ版の最新情報を読むには、次のサイトを参照してください: http://www.mcafee.com/us/downloads/beta-programs/index.aspx
 
マカフィー製品のベータ版のフィードバックを提出するには、mcafee_beta@mcafee.com 宛にメール送信してください。
 
連絡先情報については、次のサイトを参照してください: http://www.mcafee.com/uk/about/contact-us.aspx
 
著作権、商標の帰属、ライセンス情報については、次のサイトを参照してください: http://us.mcafee.com/root/aboutUs.asp?id=copyright
 
この製品を保護する特許に関しては、製品ドキュメントを参照してください。

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.