Loading...

Knowledge Center


マカフィーセキュリティ情報 - DLPe における XSS, SQL Injection および Improper Access Control の脆弱性について
Security Bulletins ID:   SB10098
Last Modified:  2015/01/21
Rated:


Summary

 
このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の影響: Cross-Site Scripting (XSS) (CWE-79)
SQL Injection (CWE-89)
Improper Access Control (CWE-287)
CVE Numbers: なし
CERT/CC and Other Numbers: なし
重大度:
Base / Overall CVSS Scores: 6.6 / 5.2
6.6 / 5.2
3.5 / 2.7
推奨手順: DLPe 9.3 Patch 4 (9.3.400) へのアップグレード
Security Bulletin Replacement: なし
備考: SB10097の脆弱性も DLPe 9.3 patch 4 にて対応されています
影響を受けるソフトウェア: DLPe 9.3 Patch 3 以前
アップデートソフトウェアの入手先: - US ダウンロードサイト 
 http://www.mcafee.com/us/downloads/downloads.aspx
- 日本 ダウンロードサイト
 http://www.mcafee.com/japan/licensed2/

Description

 DLP Endpoint ePO 拡張ファイルにて下記の 3 つの脆弱性が確認されています:

#1 Cross-Site Scripting (XSS) 
悪意を持ったユーザーがクロスサイトスクリプティングを利用し、不正なスクリプトをブラウザに埋め込む事を可能にさせます。埋め込まれるコンテンツは JavaScript によりデザインされ、ユーザーのブラウザが利用されてる可能性があります。
詳細は下記 URL をご参照下さい。
 
CWE-79
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 
http://cwe.mitre.org/data/definitions/79.html
 
#2 SQL Injection
SQL インジェクションの脆弱性により、全ての認証されたユーザーが利用され、ePO データベースが操作される可能性があります。
詳細は下記 URL をご参照下さい。
 
CWE-89
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 
http://cwe.mitre.org/data/definitions/89.html
 
#3 Improper Access Control
ePO データベースからパスワードを得るために、改竄された URL が使用される可能性があります。
詳細は下記 URL をご参照下さい。

CWE-287
Improper Authentication
http://cwe.mitre.org/data/definitions/287.html

影響を受けるコンポーネント:
  • DLPe ePO 拡張ファイル 9.3 patch 3 以前
本事象は 2015年1月20日リリースの DLPe 9.3 patch4 にて修正されております。

Remediation

 製品ダウンロードサイトから、 DLPe 9.3 patch4 をダウンロードし ePO サーバーに 拡張ファイルをインストールして下さい。

ダウンロードの方法:
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ を開き、承認番号入力画面を開きます。
  3. 有効な承認番号を入力しログインします。
  4. 製品スイートを選択します。
  5. Data Loss Prevention Endpoint 9.3 製品を選択し、使用許諾に同意します。
  6. ソフトウェアの項目から McAfeeDLPEndPoint93400Licensed.zip をダウンロード致します。

Workaround

 本脆弱性に対応する 回避策はありません。

Acknowledgements

 この脆弱性は NCI Agency - Cyber Security (NATO) によって発見されました。

Frequently Asked Questions (FAQs)

  • どのバージョンが本脆弱性の影響をうけますか?

    影響を受けるバージョン: DLPe 9.3 patch3 以前
    影響を受けないバージョン : DLPe 9.3 patch4 以降
  • 何の脆弱性が、 DLPe 9.3 patch 4 で対応されていますか?

    Cross Site Scripting, SQL Injection および Improper Access Control の脆弱性が対応されています。
  • 本脆弱性はマカフィー企業製品に影響を与えますか?

    はい。 DLPe 9.3 は企業製品です。
  • 使用中の DLPe 製品のバージョンはどのように調べますか?

    1. ePO サーバーへログインします。
    2. メニュー > データ保護 > DLP ポリシー をクリックします。
    3. ヘルプ > バージョン情報 から確認できます。
  • CVSSとは何ですか?

    CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
    http://www.first.org/cvss/

  • 使用されるCVSSスコアリングメトリクスは何ですか?

    #1 Cross-Site Scripting (XSS) 
     Base Score 6.6
     Related exploit range (AccessVector) Network
     Attack complexity (AccessComplexity) High
     Level of authentication needed (Authentication) Single
     Confidentiality impact Complete
     Integrity impact Complete
     Availability impact None
     Temporal Score (Overall)
    5.2
     Availability of exploit (Exploitability) Proof of concept code
     Type of fix available (RemediationLevel) Official fix
     Level of verification that vulnerability exists (ReportConfidence) Confirmed

    NOTE: CVSS version 2.0 was used to generate this score. 
    http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:H/Au:S/C:C/I:C/A:N/E:POC/RL:OF/RC:C)

    #2 SQL Injection

     Base Score 6.6
     Related exploit range (AccessVector) Network
     Attack complexity (AccessComplexity) High
     Level of authentication needed (Authentication) Single
     Confidentiality impact Complete
     Integrity impact Complete
     Availability impact None
     Temporal Score (Overall)
    5.2
     Availability of exploit (Exploitability) Proof of concept code
     Type of fix available (RemediationLevel) Official fix
     Level of verification that vulnerability exists (ReportConfidence) Confirmed

    NOTE: CVSS version 2.0 was used to generate this score. 
    http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:H/Au:S/C:C/I:C/A:N/E:POC/RL:OF/RC:C)

    #3 Improper Authentication Control

     Base Score 3.5
     Related exploit range (AccessVector) Network
     Attack complexity (AccessComplexity) Medium
     Level of authentication needed (Authentication) Single
     Confidentiality impact Partial
     Integrity impact None
     Availability impact None
     Temporal Score (Overall)
    2.7
     Availability of exploit (Exploitability) Proof of concept code
     Type of fix available (RemediationLevel) Official fix
     Level of verification that vulnerability exists (ReportConfidence) Confirmed
  • マカフィーは、問題を解決するために何をしましたか?

    マカフィーは本脆弱性に対応した patch を 2015年1月20日にリリースしました。
  • この問題や他のセキュリティ事項を解決するためにマカフィーが実施した対策は何ですか?

    マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。
    マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、 Patch、Hotfix を合わせてのみ発表します。

    マカフィーは既知の脆弱性の影響を受ける製品や脆弱性がすでに知られ脆弱性に影響しない製品のリストを公開することがありますが、現在実施可能な回避策はありません。

Disclaimer

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply. 
Any future product release dates mentioned in this bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

Rate this document

Did this article resolve your issue?

Please provide any comments below

Languages:

This article is available in the following languages:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.