Loading...

ナレッジセンター


マカフィーセキュリティー情報 - Privilege Escalation(特権昇格)の脆弱性について
セキュリティ情報 ID:  SB10057
最終更新:  2014/02/13

概要

このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の種類: Privilege Escalation(特権昇格)
CVE 番号: なし
US CERT 番号: なし
重大度: 中 (Medium)
CVSSスコア: 6.4
推奨する対策: Patch適用によるUpdate
セキュリティ情報の修正: なし
備考: なし
影響を受ける製品: McAfee Email Gateway (MEG) 7.0 Appliance McAfee Email Gateway (MEG) 7.5 Appliance

説明

GUIに、特定のデータを与えることで、ソフトウェアがそのデータをコードとして直接実行することができます。
これにより、rootレベルのスーパーユーザーアクセスを可能となる任意のシェルコマンドの実行が可能となります。

修正

製品ダウンロードサイトから各バージョンに対応したPatchをダウンロードして適用してください。

製品 パッチ Hotfix リリース日
Email Gateway (MEG) 7.5 Appliance 7.5.1 2013/10/15 予定
Email Gateway (MEG) 7.0 Appliance 7.0.4 2013/10/31 予定*

*MEG 7.0.4 は一時的にこの日付をリリース予定としています。リリース日が確定し次第本記事は更新されます。

MEG 7.5.1 and 7.0.4 ダウンロード手順

  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/us/downloads にアクセスします。
  3. 有効な承認番号を入力します。
  4. 製品スイートをクリックします。
  5. 適した製品をクリックして I Agree をクリックします。
  6. パッチ タブ をクリックし、製品欄の下にある製品.ZIP ファイルのリンクをクリックしてダウンロードします。

マカフィー製品、ドキュメント、セキュリティアップデート、パッチ、またはホットフィクスのダウンロード方法については KB56057 をご参照ください。

このパッチのインストール または アップグレード手順については、リリースノートおよびインストールガイド (上記と同手順にてドキュメントタブから入手できます。) をご覧ください。

回避策

McAfeeは帯域外(OOB)インタインターフェースで管理をするように設定することを推奨します。また、管理者のみがGUIにアクセス出来るようにアクセスコントロールも設定してください。

  1. OOB NICを管理用のネットワークに接続します。
  2. 既存のネットワークから管理者インターフェースにログインします。
  3. [システム] – [アプライアンスの管理] – [リモートアクセス] をクリックします。
  4. [帯域外管理] をクリックします。
  5. [帯域外インターフェースを有効にする] にチェックを入れ、対象のOOBイーサネットアダプタを選択します。
  6. OOB NICのIPアドレスを入力します。
  7.  [帯域内管理を有効にする] のチェックを外します。
  8. [システム] – [アプライアンスの管理] – [リモートアクセス] – [ユーザインターフェースアクセス設定] フィールドの [以下にリストされている許可ホスト/ネットワーク] を選択します。
  9. 管理者用端末のIPアドレス、もしくはドメイン名を入力します。
  10. 画面右上の緑色のアイコンをクリックし、設定を反映します。

    注意: これで、管理ネットワークを通してアプライアンスを管理することができます。

よくある質問(FAQ)

この脆弱性の影響を受ける製品は?

Email Gateway 7.6より前のバージョンです。

 影響を受けるバージョン:

  • MEG 7.0 Appliance 7.0.3 (およびそれ以前のバージョン)
  • MEG 7.5 Appliance 7.5.0

 影響を受けないバージョン:

  • MEG 7.6 Appliance

どうやって現在利用している製品が脆弱性のあるバージョンかどうかを確認すればいいですか?

下記手順に従い、確認してください。

  1. 管理者UIにログインします。
  2. [アプライアンスについて] をクリックし、製品バージョンを確認してください。
    または、ログイン後の画面左にもバージョン情報が記載されますのでそちらでご確認ください。

CVSSとは何ですか?

CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。

http://www.first.org/cvss/

使用されるCVSSスコアリングメトリクスは何ですか?

 Base Score 8.2
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Medium
 Level of authentication needed (Authentication) Single Instance
 Confidentiality impact Partial
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 6.4
 Availability of exploit (Exploitability) Proof of concept code
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:S/C:P/I:C/A:C/E:P/RL:O/RC:C)

マカフィーは、問題を解決するために何をしましたか?

McAfeeはこの脆弱性の対策を含む各Patchをリリースします。

修正を含むPatchはどこから入手できますか?

製品ダウンロードサイトからダウンロードしてください。
ダウンロードには承認番号およびSKUが必要となります。

この問題を解決するためにマカフィーが実施した対策は何ですか?

マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。マカフィーはソフトウェアの脆弱性修正とレポートに対する開発ガイドラインとベストプラクティスの専任する、Organization for Internet Safety (OIS) の一員です。

マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、パッチ、Hotfix を合わせてのみ発表します。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.

Any future product release dates mentioned in this bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.