Loading...

McAfee Security Bulletin - Email Gateway における XSS の脆弱性に対する修正について
セキュリティ情報 ID:   SB10099
最終更新:  2016/03/02
評価:


概要

 ドキュメントの対象者:  技術・セキュリティ担当者
 脆弱性の影響:  Reflected Cross-Site Scripting (XSS) (CWE-79)
 CVE 番号:  None
 CERT/CC およびその他の番号:  None
 重大度:  Medium
 Base / Overall CVSS Scores:  6.0 / 5.0
 推奨手順: Patch をインストールしてください。
 セキュリティ情報の修正:  None
 備考:  None
 影響を受けるソフトウェア:
  • MEG 7.6
  • MEG 7.5
  • MEG 7.0
  • MEG 5.6
 アップデートソフトウェアの入手先: http://www.mcafee.com/japan/downloads/
http://www.mcafee.com/us/downloads/downloads.aspx

記事のコンテンツ:

説明

McAfee Email Gateway (MEG) はセキュアなメールを構成、参照するためのSecure Web Mail Clientのユーザーインターフェースを持っています。このインターフェースは、反射型のクロスサイトスクリプティング(XSS)攻撃を受けやすいです。

CWE-79
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting'); Type 1: Reflected XSS (or Non-Persistent)
http://cwe.mitre.org/data/definitions/79.html
 
影響を受けるコンポーネント:
  • McAfee Secure Web Mail Client
この問題は2015年1月14日(US時間)にリリースされた McAfee Email Gateway 7.6.3.2 および2015年1月6日(US時間)にリリースされたEmail Gateway 7.5.6にて解決されました。

修正

マカフィーのダウンロードサイトにアクセスし、該当する製品の適切な Patch/Hotfix をダウンロードしてください:
 
Product Type Patch Version Release Date
McAfee Email Gateway Patch 7.6.3.2 January 14, 2015
McAfee Email Gateway Patch 7.5.6  January 6, 2015
McAfee Email Gateway Hotfix 7.0.5h1021346 Scheduled for late January 2015
McAfee Email Gateway Hotfix 5.6h1021351 Scheduled for late January 2015

マカフィー製品ダウンロード手順
  1. インターネットエスクプローラーを起動します.
  2. 下記 URL へアクセスします。  
    (US サイト): http://www.mcafee.com/us/downloads/downloads.aspx 
    (日本サイト:) http://www.mcafee.com/japan/licensed2/
  3. 有効なマカフィーの必要情報を入力します。  
    US サイトの場合: 承認番号
    日本サイトの場合: 承認番号および SKU 
  4. 該当の製品もしくはスイートをクリックします。
  5. [同意する(I Agree)]をクリックします。
  6. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。

製品、ドキュメント、セキュリティ アップデート、Patch や Hotfix などのダウンロード方法については、以下の KB を参照ください。: KB56057

Hotfix / Patch の適用方法については、各製品のリリースノートやインストールガイドの指示に従ってください。

回避策

ありません。各バージョンで提供されたアップデートをインストールしてください。

確認

この欠陥はContext Information SecurityFrançois Goichon によって報告されました。
よくある質問 (FAQs)
この脆弱性の影響を受ける製品は?McAfee Email Gateway (MEG) is affected.

影響を受けるバージョン:

  • 7.6.3.1 およびそれ以前
  • 7.5.5 およびそれ以前
  • 7.0.5 およびそれ以前
  • 5.6 およびそれ以前
影響を受けないバージョン:
  • 7.6.3.2 およびそれ以降
  • 7.5.6 およびそれ以降
  • 7.0.5 Hotfix 1021346 およびそれ以降 (リリースされ次第)
  • 5.6 Hotfix 1021351 およびそれ以降 (りリースされ次第)
マカフィーはすべてのユーザーに最新のアップデートが適用されていることを確認していただくことを推奨しています。

このHotfix/Patchにはどのような問題に対応していますか?
1021041 – ダイジェストメッセージ内の特定のトークンがエスケープされない問題。

この脆弱性はMcAfeeのエンタープライズ製品に影響がありますか?
はい。McAfee Email Gateway はエンタープライズ製品です。

どのように使用中の製品が脆弱性に該当しているかどうかを確認すればいいですか?
For Appliances:
アプライアンスベースの製品では以下の手順にて確認してください。
  1. 管理者のユーザーインターフェース (UI) を開きます。
  2. 「アプライアンスについて」のリンクをクリックします。製品バージョンが表示されます。
CVSSとは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

Wh使用されるCVSSスコアリングメトリクスは何ですか?

 Base Score 6.0
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Medium
 Level of authentication needed (Authentication) Single
 Confidentiality impact Partial
 Integrity impact Partial
 Availability impact Partial
 Temporal Score (Overall)
5.0
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:S/C:P/I:P/A:P/E:F/RL:OF/RC:C)

マカフィーは問題を解決するために何をしましたか? 
マカフィーはこのセキュリティ問題を修正するために2つのPatchをリリースしました。  古いバージョン用の2つの Hotfx は作成中です。

どこから修正モジュールをダウンロードできますか?
修正モジュールは、ダウンロードサイトからダウンロードできます。
(USサイト: ) http://www.mcafee.com/us/downloads/downloads.aspx
(日本サイト:) http://www.mcafee.com/japan/licensed2/
ダウンロードするには、有効な承認番号と SKU (日本サイトのみ) を入力する必要があります。
 
この問題を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。
 
マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、 Patch、Hotfix を合わせてのみ発表します。
マカフィーは既知の脆弱性の影響を受ける製品や脆弱性がすでに知られ脆弱性に影響しない製品のリストを公開することがありますが、現在実施可能な回避策はありません。
 
 
Disclaimer
The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.

Any future product release dates mentioned in this bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

影響を受ける製品

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese