Loading...

ナレッジセンター


マカフィーセキュリティ情報 - NATO により報告された XSS および CSRF に関する脆弱性を修正した MVM の Hotfix について
セキュリティ情報 ID:  SB10061
最終更新:  2014/02/13
評価:


概要

このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の種類: クロスサイトスクリプティング (XSS)
クロスサイトリクエストフォージェリ (CSRF)
CVE 番号: なし
US CERT 番号: なし
重大度: 低 (Low)
CVSSスコア: 3.4
1.4
推奨する対策: ご利用の MVM バージョンに応じて、下記の Hotfix を適用してください。
  • MVM 7.5.5: 7.5.5.05002_EM
  • MVM 7.5.4: 7.5.4.05007_EM
  • MVM 7.0.11: 7.0.11.05002_EM
セキュリティ情報の修正: なし
備考: なし
影響を受ける製品: MVM 7.5.5 およびそれ以前のバージョン

説明

XSS:
McAfee Vulnerability Manager (以降、MVM) Enterprise Manager により提供されるいくつかの Web ページが、改変された HTTP リクエストによる折り返し型クロスサイトスクリプティング (XSS) の攻撃に対して脆弱であることが確認されました。これらの脆弱性により、任意の HTML コードが応答 Web ページに反映されます。ただし、これらの攻撃手段は通常、特定のリクエストをキャプチャして改変するために中間者 (MITM) システムの起動が必要となり、中間者システムによって実際の MVM Web サイトへ転送されます。改変されたリクエストは保存されませんので、他者のブラウザセッションに HTML コードを挿入するために利用されることはなく、また後で再生されることもありません。他の攻撃経路としては、巧妙に作成された HTML リンクが含まれます。このリンクは、メールもしくはほかの電子媒体によって送信され、クリックすることにより他者のブラウザ内で任意の HTML コードが実行されます。

CSRF:
MVM Enterprise Manager により提供されるいくつかの Web ページが、改変された HTTP リクエストによるクロスサイトリクエストフォージェリ (CSRF) の攻撃に対して脆弱であることが確認されました。これらの脆弱性により、任意の HTML コードが応答 Web ページに反映されます。ただし、これらの攻撃手段は通常、特定のリクエストをキャプチャして改変するために中間者 (MITM) システムの起動が必要となり、中間者システムによって実際の MVM Web サイトへ転送されます。改変されたリクエストは保存されませんので、他者のブラウザセッションに HTML コードを挿入するために利用されることはなく、また後で再生されることもありません。

このサポート Q&A に記載されているHotfixでは、以下の問題を修正しています。

  • いくつかの MVM Enterprise Manger Web ページにおける折り返し型クロスサイトスクリプティングの脆弱性
  • いくつかの MVM Enterprise Manger Web ページにおけるクロスサイトリクエストフォージェリ

影響を受けるコンポーネント:

  • MVM Enterprise Manager (Web ポータル) コンポーネント

修正

次期オフィシャル Patch がリリースされるまでの間は、McAfee テクニカルサポートにコンタクトを取りHotfixの提供を受けてください。

製品 タイプ バージョン リリース日
MVM 7.5.5 Hotfix 7.5.5.05002_EM Contact MVM Support for this hotfix
MVM 7.5.4 Hotfix 7.5.4.05007_EM Contact MVM Support for this hotfix
MVM 7.0.11 Hotfix 7.0.11.05002_EM (注) Contact MVM Support for this hotfix

(注) 
MVM 7.5.3 (およびそれ以前のバージョン) の場合は、FSUpdate を実行するかhttp://update.foundstone.com へアクセスして最新 Patch をダウンロードしてください。MVM 7.0.11 あるいは MVM 7.5.5 の場合は、McAfee テクニカルサポートへコンタクトを取り、Hotfix の提供を受けてください。

回避策

なし。Hotfix をインストールしてください。

確認

この脆弱性は Nuri Fattah, COMPUSEC Branch, NATO INFOSEC Technical Centre により最初に報告されました。

よくある質問(FAQ)

これらの脆弱性の対象となる製品は?
MVM 7.5.5 (およびそれ以前のバージョン)

保護されるバージョンは?

  • MVM 7.5.6 およびそれ以降のバージョン (本サポート Q&A が公開されたタイミングでは、まだリリースされていません)
  • MVM 7.5.5 with Hotfix 7.5.5.05002_EM およびそれ以降のバージョン
  • MVM 7.5.4 with Hotfix 7.5.4.05007_EM およびそれ以降のバージョン
  • MVM 7.0.11 with Hotfix 7.0.11.05002_EM およびそれ以降のバージョン

McAfee は、最新のアップデートを適用することを推奨します。

Hotfix・ Patch で修正された問題は?

  • 919946 - Enterprise Manger における XSS および CSRF の脆弱性
  • 929396 - Enterprise Manger における折り返し型 XSS の脆弱性

この脆弱性は、McAfee の企業向け製品に影響を与えますか?
はい。MVM 7.0 / 7.5 は企業向け製品です。

脆弱性が存在するかどうかを確認する方法は?
以下の手順で、確認を行ってください。

  1. 製品の Patch レベルが脆弱かどうかを確認するためには
    1. MVM Enterprise Manager にログインします。
    2. 画面右下のバージョン情報を確認します。
      1. バージョンが 7.5 よりも低ければ脆弱です。
      2. バージョンが 7.5 の場合は Version 7.5 のリンクをクリックして、Foundstone database hot fix version の値を確認します。
        • 値が 7.5.5 (もしくはそれ以前) であれば、脆弱です。
        • 値が 7.5.5 よりも新しければ、脆弱ではありません。
  2. 製品のバージョンが 7.5.5 / 7.5.4 もしくは 7.0.11 の場合、Hotfix が適用されているかどうかを確認するためには
    1. MVM Enterprise Manager の Windows デスクトップに、リモートデスクトップ接続あるいは直接ログインします。
    2. [Start] – [Run] – [notepad] と入力して [OK] ボタンをクリックします。
    3. [File] – [Open] をクリックし "D:\Foundstone\Portal\asset\asset_xhr.exp" を開きます。
    4. 1 行目にファイルのバージョンとHotfix の番号が、以下の通り表示されます。
      <?php //003af// (C) 1999 - 2013 McAfee, an Intel Company. All rights reserved.// 7.5.5.05002
    5. バージョン番号が 7.5.5.05002 (およびそれ以降) / 7.5.4.05007 (およびそれ以降) / 7.0.11.05002 (およびそれ以降) であればHotfix は適用されており、脆弱ではありません。

CVSSとは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

使用されるCVSSスコアリングメトリクスは何ですか?

XSS

 Base Score 4.3
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Medium
 Level of authentication needed (Authentication) None
 Confidentiality impact Partial
 Integrity impact None
 Availability impact None
 Temporal Score 3.4
 Availability of exploit (Exploitability) Proof of concept code
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4786&vector=(AV:N/AC:L/Au:N/C:C/I:N/A:N)&version=2

CSRF

 Base Score 1.8
 Related exploit range (AccessVector) Adjacent Network
 Attack complexity (AccessComplexity) High
 Level of authentication needed (Authentication) None
 Confidentiality impact Partial
 Integrity impact None
 Availability impact None
 Temporal Score 1.4
 Availability of exploit (Exploitability) Not Defined
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4785&vector=(AV:N/AC:L/Au:N/C:C/I:C/A:C)&version=2

マカフィーは、問題を解決するために何をしましたか?
マカフィーはハードウェアの製造元と意見を元に、CVE の問題を解決するための製造元の推奨方針に従うことにしました。

この問題を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。マカフィーはソフトウェアの脆弱性修正とレポートに対する開発ガイドラインとベストプラクティスの専任する、Organization for Internet Safety (OIS) の一員です。

マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、 Patch、Hotfix を合わせてのみ発表します。

リソース

新しいベータ ソフトウェアをダウンロードあるいはベータ版の最新情報を読むには、次のサイトを参照してください: http://www.mcafee.com/us/downloads/beta-programs/index.aspx
 
マカフィー製品のベータ版のフィードバックを提出するには、mcafee_beta@mcafee.com 宛にメール送信してください。
 
連絡先情報については、次のサイトを参照してください: http://www.mcafee.com/uk/about/contact-us.aspx
 
著作権、商標の帰属、ライセンス情報については、次のサイトを参照してください: http://us.mcafee.com/root/aboutUs.asp?id=copyright
 
この製品を保護する特許に関しては、製品ドキュメントを参照してください。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

言語:

この記事は以下の言語でご利用になれます。

English United States
Japanese
Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.