Loading...

Knowledge Center


マカフィーセキュリティ情報 - DLPe におけるユーザー権限昇格の脆弱性について (対象OS: Windows XP のみ)
Security Bulletins ID:   SB10097
Last Modified:  2015/01/21

Summary


このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の影響: Privilege Escalation (CWE-274)
CVE Numbers: なし
CERT/CC and Other Numbers: なし
重大度:
Base / Overall CVSS Scores: 6.9 / 5.4
推奨手順: DLPe 9.3 Patch 4 (9.3.400) へのアップグレード
Security Bulletin Replacement: なし
備考: SB10098 の脆弱性も DLPe 9.3 patch 4 にて対応されています
影響を受けるソフトウェア: DLPe 9.3 Patch 3 以前
アップデートソフトウェアの入手先: - US ダウンロードサイト 
 http://www.mcafee.com/us/downloads/downloads.aspx
- 日本 ダウンロードサイト
 http://www.mcafee.com/japan/licensed2/

Description

DLPe がインストールされている Windows XP OS において、ユーザー権限が不正に昇格されてコマンドを実行される恐れがあります。詳細は下記 URL をご確認下さい。

CWE-79
Improper Handling of Insufficient Privileges
http://cwe.mitre.org/data/definitions/274.html

影響を受けるコンポーネント:
  • DLPe Agent
本事象は 2015年1月20日リリースの DLPe 9.3 patch4 にて修正されております。

Remediation

製品ダウンロードサイトから DLPe 9.3 patch4 をダウンロードして、対象のシステムにインストールして下さい。

ダウンロードの方法:
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ を開き、承認番号入力画面を開きます。
  3. 有効な承認番号を入力しログインします。
  4. 製品スイートを選択します。
  5. Data Loss Prevention Endpoint 9.3 製品を選択し、使用許諾に同意します。
  6. ソフトウェアの項目から McAfeeDLPEndPoint93400Licensed.zip をダウンロード致します。

Workaround

本脆弱性に対応する 回避策はございません。

Acknowledgements

 この脆弱性は Parvez Anwar GreyHatHacker.NET によって発見されました。

Frequently Asked Questions (FAQs)

  •  どのバージョンが本脆弱性の影響をうけますか?

    影響を受けるバージョン: DLPe 9.3 patch3 以前
    影響を受けないバージョン : DLPe 9.3 patch4 以降
  • 何の脆弱性が、 DLPe 9.3 patch 4 で対応されていますか?

    本ページの [ユーザー権限昇格の脆弱性] が対応されています。
  • 本脆弱性はマカフィー企業製品に影響を与えますか?

    はい。 DLPe 9.3 は企業製品です。
  • 使用中の DLPe 製品のバージョンはどのように調べますか?

    1. ウィンドウズタスクバー内のマカフィーアイコンを右クリックします。
    2. 管理機能 > DLP Endpoint コンソールを開きます。
    3. バージョン情報タブを開きます。
    4. バージョンおよびパッチ情報が掲載されます。
  • CVSSとは何ですか?

    CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
    http://www.first.org/cvss/

  • 使用されるCVSSスコアリングメトリクスは何ですか?

     Base Score 6.9
     Related exploit range (AccessVector) Local
     Attack complexity (AccessComplexity) Medium
     Level of authentication needed (Authentication) None
     Confidentiality impact Complete
     Integrity impact Complete
     Availability impact Complete
     Temporal Score (Overall)
    5.4
     Availability of exploit (Exploitability) Proof of concept code
     Type of fix available (RemediationLevel) Official fix
     Level of verification that vulnerability exists (ReportConfidence) Confirmed
  • マカフィーは、問題を解決するために何をしましたか?

    マカフィーは本脆弱性に対応した patch を 2015年1月20日にリリースしました。
  • この問題や他のセキュリティ事項を解決するためにマカフィーが実施した対策は何ですか?

    マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。
    マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、 Patch、Hotfix を合わせてのみ発表します。

    マカフィーは既知の脆弱性の影響を受ける製品や脆弱性がすでに知られ脆弱性に影響しない製品のリストを公開することがありますが、現在実施可能な回避策はありません。

Disclaimer

 The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply. 

Any future product release dates mentioned in this bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

Rate this document

Did this article resolve your issue?

Please provide any comments below

Languages:

This article is available in the following languages:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.