Loading...

ナレッジセンター


マカフィーセキュリティ情報 – 最新版ePolicy Orchestrator(ePO) で対応される複数の脆弱性(Oracle: Java)
セキュリティ情報 ID:  SB10058
最終更新:  2014/02/13
評価:


概要

ドキュメントの対象者: 技術・セキュリティ担当者
重大度: 不正な情報開示
不正な情報変更
サービス拒否(DoS)
CVE 番号:
  • CVE-2013-5782
  • CVE-2013-5802
  • CVE-2013-5830
  • CVE-2013-4002
  • CVE-2013-5823
  • CVE-2013-5825
  • CVE-2013-5780
CERT/CC 番号: None
セキュリティレーティング: 緊急
CVSS スコア: 下記詳細を参照してください
推奨する対策: ePO 4.6.7 または ePO 5.1.0 (ePO510L2.zip)へのアップデート(2013年11月07日リリース)
セキュリティ情報の修正: None
備考: None
影響を受ける製品:
  • ePO 4.5 Patch 7 (およびそれ以前のバージョン)
  • ePO 4.6.6 (およびそれ以前のバージョン)
  • ePO 5.0.1 (およびそれ以前のバージョン)
最新のソフトウェア入手: http://www.mcafee.com/japan/licensed2/

説明

2013年10月15日のOracle Java SEアップデートについて、CVEからePOに関連した7つの脆弱性が報告されました。
これらの脆弱性は不正な情報開示や変更、あるいはサービス拒否(DoS)をすることができます。

  • CVE-2013-5782 McAfee ePO and Oracle JRE (Base CVSS Score = 10.0)
    Oracle Java SE の Java SE, JRockit、Java SE Embedded component(サブコンポーネント: 2D) の脆弱性でJava SE 7u40, Java SE 6u60,
    Java SE 5.0u51, JRockit R28.2.8, JRockit R27.7.6, およびJava SE Embedded 7u40とそれぞれのコンポーネントの以前のバージョンが影響を受けます。 またこの脆弱性の攻撃が成功すると、ネットワーク攻撃やオペレーティングシステム上で任意のコード実行を含む不正な操作をされる場合があります。

    注意:
    この脆弱性はJavaウェブスタートアプリケーションおよびJavaアプレットで開発することができ、Javaアプレットを使用せずに指定されたコンポーネントのAPIへデータ供給ができるようになります。

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5782

  • CVE-2013-5802 McAfee ePO and Oracle JRE (Base CVSS Score = 10.0)
    Oracle Java SE の Java SE, JRockit、Java SE Embedded component(サブコンポーネント: JAXP) の脆弱性でJava SE 7u40, Java SE 6u60, Java SE 5.0u51, JRockit R28.2.8, JRockit R27.7.6, およびJava SE Embedded 7u40とそれぞれのコンポーネントの以前のバージョンが影響を受けます。 またこの脆弱性の攻撃が成功すると、ネットワーク攻撃やJava SE, JRockit, Java SE Embeddedへ更新, 挿入, 削除 の不正なアクセス、限定的なDoSを引き起こされる場合があります。

    注意:
    この脆弱性はJavaウェブスタートアプリケーションおよびJavaアプレットで開発することができ、Javaアプレットを使用せずに指定されたコンポーネントのAPIへデータ供給ができるようになります。

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5802

  • CVE-2013-5830 McAfee ePO and Oracle JRE (Base CVSS Score = 10.0)
    Oracle Java SE の Java SE, JRockit、Java SE Embedded component(サブコンポーネント: Libraries) の脆弱性でJava SE 7u40, Java SE 6u60, Java SE 5.0u51, JRockit R28.2.8, JRockit R27.7.6, およびJava SE Embedded 7u40とそれぞれのコンポーネントの以前のバージョンが影響を受けます。またこの脆弱性の攻撃が成功すると、ネットワーク攻撃やオペレーティングシステム上で任意のコード実行を含む不正な操作をされる場合があります。

    注意:
    この脆弱性はJavaウェブスタートアプリケーションおよびJavaアプレットで開発することができ、Javaアプレットを使用せずに指定されたコンポーネントのAPIへデータ供給ができるようになります。

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5830

  • CVE-2013-4002 McAfee ePO and Oracle JRE (Base CVSS Score = 7.1)
    Oracle Java SE の Java SE, JRockit、Java SE Embedded component(サブコンポーネント: JAXP).) の脆弱性でJava SE 7u40, Java SE 6u60, Java SE 5.0u51, JRockit R28.2.8, JRockit R27.7.6, およびJava SE Embedded 7u40とそれぞれのコンポーネントの以前のバージョンが影響を受けます。またこの脆弱性の攻撃が成功すると、ネットワーク攻撃やJava SE, JRockit, Java SE Embeddedへ更新, 挿入, 削除 の不正なアクセス、限定的なDoSを引き起こされる場合があります。

    注意:
    この脆弱性はJavaウェブスタートアプリケーションおよびJavaアプレットで開発することができ、Javaアプレットを使用せずに指定されたコンポーネントのAPIへデータ供給ができます。

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4002

  • CVE-2013-5823 McAfee ePO and Oracle JRE (Base CVSS Score = 5.0)
    Oracle Java SE (Java SE, JRockit、Java SE Embedded (サブコンポーネント: Security) の脆弱性でJava SE 7u40, Java SE 6u60, Java SE 5.0u51, JRockit R28.2.8, JRockit R27.7.6, およびJava SE Embedded 7u40とそれぞれのコンポーネントの以前のバージョンが影響を受けます。またこの脆弱性の攻撃が成功すると、ネットワーク攻撃や限定的なDoSを引き起こされる場合があります。

    注意:
    この脆弱性はJavaウェブスタートアプリケーションおよびJavaアプレットで開発することができ、Javaアプレットを使用せずに指定されたコンポーネント中のAPIへデータ供給ができます。

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5823

  • CVE-2013-5825 McAfee ePO and Oracle JRE (Base CVSS Score = 5.0) Oracle Java SE の Java SE, JRockit、Java SE Embedded component (サブコンポーネント: JAXP) の脆弱性でJava SE 7u40, Java SE 6u60, Java SE 5.0u51, JRockit R28.2.8, JRockit R27.7.6, およびJava SE Embedded 7u40とそれぞれのコンポーネントの以前のバージョンが影響を受けます。 またこの脆弱性の攻撃が成功すると、ネットワーク攻撃や限定的なDoSを引き起こされる場合があります。

    注意:
    この脆弱性はJavaウェブスタートアプリケーションおよびJavaアプレットで開発することができ、Javaアプレットを使用せずに指定されたコンポーネントのAPIへデータ供給ができます。

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5825

  • CVE-2013-5780 McAfee ePO and Oracle JRE (Base CVSS Score = 4.3)
    Oracle Java SE の Java SE, JRockit、Java SE Embedded component (サブコンポーネント: Libraries) の脆弱性でJava SE 7u40, Java SE 6u60, Java SE 5.0u51, JRockit R28.2.8, JRockit R27.7.6, およびJava SE Embedded 7u40とそれぞれのコンポーネントの以前のバージョンが影響を受けます。またこの脆弱性の攻撃が成功すると、ネットワーク攻撃やJava SE, JRockit, Java SE Embeddedへ読み取りの不正なアクセスができるようになります。

    注意:
    この脆弱性はJavaウェブスタートアプリケーションおよびJavaアプレットで開発することができ、Javaアプレットを使用せずに指定されたコンポーネント中のAPIへデータ供給ができます。

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5780

影響を受けるコンポーネント:

  • ePO Java Core Web Services

修正

ePO 4.6.7 もしくは ePO 5.1.0へのアップグレード:

  • ePO 4.5.x または ePO 4.6.x を使用中の場合には ePO 4.6.7 または ePO 5.1.0 へのアップグレード
  • ePO 5.0.x を使用中の場合には ePO 5.1.0 へのアップグレード

ePO 4.6.7 もしくは ePO 5.1.0 へのアップグレードの詳細につきましてはリリースを参照ください。

注意: FIPS 140-2モードでインストールされている ePO 4.6.4 を ePO 5.1.0 へアップグレードすることができます。

この脆弱性下記のPatchで修正されます:

製品 タイプ ファイル名 リリース日
ePO 4.6.7 Patch ePO467L.zip 2013年12月予定
ePO 5.1.0 Patch ePO510L2.zip 2013年11月07日

ePO 4.6.7/ 5.1.0ダウンロード方法:
 

  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/us/downloads にアクセスします。
  3. 有効なマカフィーの承認番号を入力します。
  4. 製品スイートをクリックします。
  5. 上記テーブルを参照して適切な製品をクリックし、I Agree をクリックします。
  6. Software Downloads タブをクリックし適切な製品のリンクをクリックしてZIPファイルをダウンロードします。

マカフィー製品、ドキュメント、セキュリティーアップデート、パッチ、または hotficののダウンロードに関しては KB56057 をご参照ください。

またインストール/アップグレード方法につきましては、ダウンロードサイトに掲載している製品ガイドやリリースノートを確認下さい。

回避策

これらの問題に有用な回避策はありません。

ePO 4.6.7あるいは ePO 5.1.0 にアップグレードするように強く推奨します。

確認

この問題は2013年10月15日のオラクル社 pre-patch アナウンスによって最初に公開されました。

よくある質問(FAQ)

1. どのマカフィー製品が、この脆弱性による影響を受けますか?

マカフィー最新版に更新されているかを確認されることを推奨します。

影響あり

  • ePO 4.5 Patch 7 もしくはそれ以前のバージョン
  • ePO 4.6.6 もしくはそれ以前のバージョン
  • ePO 5.0.1 もしくはそれ以前のバージョン

影響なし

  • ePO 4.6.7 (and later)
  • ePO 5.1.0 (and later)

2. Javaのアップデートによって、どんな問題が解決されますか?

  • CVE-2013-5782
  • CVE-2013-5802
  • CVE-2013-5830
  • CVE-2013-4002
  • CVE-2013-5823
  • CVE-2013-5825
  • CVE-2013-5780

3. どのようにマカフィー製品が脆弱であるかを知ることができますか?

ePOコンソールを立ち上げ、ブラウザのタイトルバーに表示されるePOサーババージョンを確認してください。

例: Internet Explorer を使って、ePOコンソールを立ち上げた場合:
ePolicy Orchestrator 4.6.6 (Build: 176) -  Windows Internet Explorer

4. CVSSとは何ですか?

CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。
このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。

詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

5. 使用されるCVSSスコアリングメトリクスは何ですか?

CVE-2013-5782 ePO and Oracle JRE

 Base Score 10.0
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 6.7
 Availability of exploit (Exploitability) Unproven that exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Unconfirmed

NOTE: CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:[N]/AC:[L]/Au:[N]/C:[C]/I:[C]/A:[C]/E:[U]/RL:[O]/RC:[UC])

CVE-2013-5802 ePO and Oracle JRE

 Base Score 10.0
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 6.7
 Availability of exploit (Exploitability) Unproven that exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Unconfirmed

NOTE: CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:[N]/AC:[L]/Au:[N]/C:[C]/I:[C]/A:[C]/E:[U]/RL:[O]/RC:[UC])

CVE-2013-5830 ePO and Oracle JRE

 Base Score 10.0
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact Complete
 Integrity impact Complete
 Availability impact Complete
 Temporal Score 6.7
 Availability of exploit (Exploitability) Unproven that exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Unconfirmed

NOTE: CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:[N]/AC:[L]/Au:[N]/C:[C]/I:[C]/A:[C]/E:[U]/RL:[O]/RC:[UC])

CVE-2013-4002 ePO and Oracle JRE

 Base Score 7.1
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Medium
 Level of authentication needed (Authentication) None
 Confidentiality impact None
 Integrity impact None
 Availability impact Complete
 Temporal Score 4.7
 Availability of exploit (Exploitability) Unproven that exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Unconfirmed

NOTE: CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:[N]/AC:[M]/Au:[N]/C:[N]/I:[N]/A:[N]/E:[U]/RL:[O]/RC:[UC])

CVE-2013-5823 ePO and Oracle

 Base Score 5.0
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact None
 Integrity impact None
 Availability impact Partial
 Temporal Score 3.3
 Availability of exploit (Exploitability) Unproven that exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Unconfirmed

NOTE: CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:[N]/AC:[L]/Au:[N]/C:[N]/I:[N]/A:[P]/E:[U]/RL:[O]/RC:[UC])

CVE-2013-5825 ePO and Oracle

 Base Score 5.0
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact None
 Integrity impact None
 Availability impact Partial
 Temporal Score 3.3
 Availability of exploit (Exploitability) Unproven that exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Unconfirmed

NOTE: CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:[N]/AC:[L]/Au:[N]/C:[N]/I:[N]/A:[P]/E:[U]/RL:[O]/RC:[UC])

CVE-2013-5780 ePO and Oracle JRE

 Base Score 4.3
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Medium
 Level of authentication needed (Authentication) None
 Confidentiality impact Partial
 Integrity impact None
 Availability impact None
 Temporal Score 2.9
 Availability of exploit (Exploitability) Unproven that exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Unconfirmed

NOTE: CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:[N]/AC:[M]/Au:[N]/C:[N]/I:[P]/A:[N]/E:[U]/RL:[O]/RC:[UC])

6. マカフィーは、問題を解決するために何をしましたか?

この問題に対応された ePO 4.6.7 / ePO 5.1.0 (リリース済) をリリースする予定です。

7. 修正プログラムはどこでダウンロードすればいいですか?

以下ダウンロードページにログインします。

企業ユーザー向けライセンス版ダウンロード
http://www.mcafee.com/japan/licensed2/
(承認番号と製品コードの入力を求められますので、予めご用意ください。)

8. この問題を解決するためにマカフィーが実施した対策は何ですか?

マカフィーは、最も安全なソフトウェアをお客様に提供することを信条とし、セキュリティ欠陥修正プログラムを提供します。

リソース

新しいベータ ソフトウェアをダウンロードあるいはベータ版の最新情報を読むには、次のサイトを参照してください: http://www.mcafee.com/us/downloads/beta-programs/index.aspx
 
マカフィー製品のベータ版のフィードバックを提出するには、mcafee_beta@mcafee.com 宛にメール送信してください。
 
連絡先情報については、次のサイトを参照してください: http://www.mcafee.com/uk/about/contact-us.aspx
 
著作権、商標の帰属、ライセンス情報については、次のサイトを参照してください: http://us.mcafee.com/root/aboutUs.asp?id=copyright
 
この製品を保護する特許に関しては、製品ドキュメントを参照してください。

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.