Loading...

McAfee 情報 - 3 月 19 日 に公開された、14 個の Open SSL CVE 脆弱性情報
セキュリティ情報 ID:   SB10110
最終更新:  2019/01/16
評価:


概要

脆弱性の影響: Cryptographic Issue (CWE-310)
Input Validation (CWE-20)
Code (CWE-17)
Improper Restriction of Operations within the Bounds of a Memory Buffer (CWE-119)
NULL Pointer Dereference (CWE-476)
CVE 情報
CVE 番号 重大度 Base CVSS v2 Scores 影響を受ける製品
CVE-2015-0204 Medium 5.0 Cloud Server 5 / CS Rest 
Endpoint Intelligence Agent (EIA)
McAfee Email Gateway (MEG)
McAfee Firewall Enterprise (MFE)
McAfee Firewall Enterprise Control Center (MFE CC)
McAfee Quarantine Manager (MQM)
McAfee Web Gateway (MWG)
Network Threat Behavior Analysis (NTBA)
Next Generation Firewall (NGFW)
Rogue System Detection (RSD)
Security as a Service (SaaS)
Security Information and Event Management (SIEM)
CVE-2015-0207 Medium 5.0 None
CVE-2015-0208 Medium 4.3 None
CVE-2015-0209 Medium 6.8 MFE CC
RSD
CVE-2015-0285 Medium 4.3 None
CVE-2015-0286 Medium 5.0 ePO Deep Command (EDC)
ePolicy Orchestrator (ePO)
GTI Proxy 2.0
McAfee Agent (MA)
McAfee Asset Manager (MAM)
MEG
MFE
MFE CC
MQM
McAfee Vulnerability Manager (MVM)
MWG
Network Data Loss Prevention (NDLP)
NTBA
NGFW
RSD
SaaS
SIEM
SSL VPN (VPN)
VirusScan Enterprise for Linux (VSEL)
CVE-2015-0287 Medium 5.0 MAM
NTBA
RSD
VSEL
CVE-2015-0288 Medium 5.0 ePO
CVE-2015-0289 Medium 5.0 MAM
NTBA
RSD
VSEL
CVE-2015-0290 Medium 5.0 None
CVE-2015-0291 Medium 5.0 None
CVE-2015-0292 High 7.5 EDC
MAM
MFE
MFE CC
MQM
NDLP
RSD
SIEM
VPN
CVE-2015-0293 Low 2.9 MFE
MQM
NTBA
RSD
CVE-2015-1787 Low 2.6 None
Base / Overall CVSS v3 Scores: Not Available
 推奨手順: 緩和させるシグネチャ/ルールの配備を最初に実施してください。 
Patch / Hotfix の適用を実施してください。
 セキュリティ情報の修正: None
 影響を受けるソフトウェア: 影響を受ける製品については「マカフィー製品の脆弱性に対する状況」の項目を参照してください。
 アップデートソフトウェアの入手先:  http://www.mcafee.com/jp/downloads/downloads.aspx
 http://www.mcafee.com/us/downloads/downloads.aspx
 
記事のコンテンツ:
 

説明

詳細な情報は、Open SSL 製品のセキュリティアドバイザリーで確認できます。

https://www.openssl.org/news/secadv_20150319.txt

CVE-2015-0204
Reclassified: RSA silently downgrades to EXPORT_RSA [Client]
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204

CVE-2015-0207
Segmentation fault in DTLSv1_listen
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0207

CVE-2015-0208
Segmentation fault for invalid PSS parameters
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0208

CVE-2015-0209
Use after free following d2i_ECPrivatekey error
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0209

CVE-2015-0285
Handshake with unseeded PRNG
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0285

CVE-2015-0286
Segmentation fault in ASN1_TYPE_cmp
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0286

CVE-2015-0287
ASN.1 structure reuse memory corruption
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0287

CVE-2015-0288
X509_to_X509_REQ NULL pointer deref
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0288

CVE-2015-0289
PKCS7 NULL pointer dereferences
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0289

CVE-2015-0290
Multiblock corrupted pointer
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0290

CVE-2015-0291
OpenSSL 1.0.2 ClientHello signals DoS
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0291

 

CVE-2015-0292
Base64 decode
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0292

 

CVE-2015-0293
DoS via reachable assert in SSLv2 servers
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0293

 

CVE-2015-1787
Empty CKE with client auth and DHE
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1787

 
  McAfee 製品の脆弱性に対する状況
すべての McAfee / マカフィー製品で調査を実施しています。このセキュリティ情報は追加の情報や Patch が作成され次第、順次更新します。脆弱性対応製品に記載されている製品のすべてのバージョンが対象ではありません。バージョン情報については、本記事に記載されている情報を参照してください。
 
脆弱性対応製品
  1. Advanced Threat Defense (ATD)
  2. McAfee Asset Manager (MAM)
  3. ePO Deep Command (EDC)
  4. ePolicy Orchestrator (ePO)
  5. McAfee Firewall Enterprise (MFE)
  6. McAfee Firewall Enterprise Control Center (MFE CC)
  7. McAfee Web Gateway (MWG)
  8. Next-Generation Firewall (NGFW) / Stonesoft
  9. Rogue System Detection 5.0.1 (RSD) [part of MAM]
  10. VirusScan Enterprise for Linux (VSEL)
脆弱性の影響を受けている未対応製品
  1. Cloud Server 5 / CS Rest
  2. Endpoint Intelligence Agent (EIA)
  3. McAfee Agent (MA)
  4. McAfee Email Gateway (MEG)
  5. McAfee Global Threat Intelligence Proxy (GTI)
  6. McAfee Security Information and Event Management (SIEM)
  7. McAfee SSL VPN (VPN)
  8. MQM McAfee Quarantine Manager (MQM)
  9. McAfee Vulnerability Manager (MVM)
  10. Network Data Loss Prevention (NDLP)
  11. Network Threat Behavior Analysis (NTBA)
  12. SaaS Account Management (SaaSAM)
  13. SaaS Email Archiving (SEA)
  14. SaaS Email Protection and Continuity (SaaS Email)
各製品の概要については以下を参照してください。
http://www.mcafee.com/jp/apps/products-az.aspx

修正

 
製品のダウンロードサイトにアクセスし、該当する製品の Patch/Hotifix を入手してください。
 
製品 タイプ Patch Version ファイル名 リリース日
ATD  Patch 3.4.4.63.45665   2015年4月2日
Asset Manager (MAM) 6.6 Hotfix Hotfix 7 Mam_hotfix_pack7.sh 2015年6月23日
ePO Deep Command (EDC) 2.2 Hotfix   HF1055847 2015年4月21日
ePO Hotfix Hotfix 4.6.x, 5.1.x EPOHF1052048.zip 2015年4月9日
MFE 7.0.1.03 Hotfix 7.0.1.03E67 70103E67 2015年3月25日
MFE 8.2.1 Hotfix 8.2.1E137 8.2.1E137  2015年3月25日
MFE 8.3.1 Hotfix 8.3.1E72 8.3.1E72 2015年3月26日
MFE 8.3.2 Hotfix 8.3.2E44   8.3.2E44 2015年3月24日
MFE CC    Patch
Hotfix
5.3.2P06
5.3.2E05
532P06.zip
532E05.zip
2015年2月3日
2015年4月28日
MWG 7.5.1.1 Patch 7.5.1.1   2015年3月27日
MWG 7.4.2.8 Patch 7.4.2.8   2015年3月27日
NGFW 5.7.9 Maintenance Release 5.7.9   2015年4月1日
NGFW 5.5.14 Maintenance Release 5.5.14   2015年4月1日
RSD 5.0.1 Hotfix Hotfix 1   2015年4月1日
VSEL Hotfix 1064407 McAfeeVSEForLinux-2.0.2.29099-HF1064407.zip 2015年5月21日
 
特定の製品に関する注意事項
  • McAfee Agent
    MA version CVE-2015-0286
    4.8.0 脆弱性に該当しません。
    5.0.0 脆弱性に該当します。
     
  • MAM
    RSD 4.7.x は脆弱性に該当しません。
     
    MAM 6.6 は Debian Squeeze Linux を使用してパッケージされているため、脆弱性に該当します。Debian は OpenSSL for Squeeze LTS の新バージョン (0.9.8o-4squeeze20) をリリースしています。Hotfix は、CVE-2015-0204 (Freak) と CVE-2015-0288 にも対応します。
     
  • McAfee Firewall Enterprise
    Firewall Enterprise Patch Download Locations:  
    MFE の詳細情報については、 KB83799 と KB84203 を参照してください。
     
  • McAfee Firewall Enterprise Control Center
    MFE Control Center Patch ダウンロード場所:
    5.3.2E05: ftp://207.67.117.105/outgoing/532E05.zip 
    MFE CC の詳細情報については、KB83799 を参照してください。
     
  • Network DLP
    CVE-2015-0204 は OpenSSL_client -connect 172.20.242.237:443 -cipher EXPORT command と共にテストされています。
      
  • Rogue System Detection Sensor
    RSD 4.7.x は脆弱性に該当しません。
     
  • SIEM
    SIEM version CVE-2015-0204 CVE-2015-0286 CVE-2015-0292
    9.2.2 Patch 済み 脆弱性に該当します。1 Patch 済み
    9.3.2 Patch 済み 脆弱性に該当します。1 Patch 済み
    9.4.2 Patch 済み 脆弱性に該当します。1 Patch 済み
    9.5.0 Patch 済み 脆弱性に該当します。1 Patch 済み
    Patch 済み = SIEM チームは、これらの脆弱性に対応した Patch をリリースしています。
    1 SIEM サーバーは、クライアントの証明書を検査しませんが、データソースクライアントとの証明書検査が影響を受けます。(CVE スコアはこの問題のみ反映されます。)
     
製品の入手方法
  1. インターネットエクスプローラを起動します。
  2. 下記 URL へアクセスします。 
    (US サイト): http://www.mcafee.com/us/downloads/downloads.aspx 
    (日本サイト:) http://www.mcafee.com/jp/downloads/downloads.aspx
  3. 有効なマカフィーの必要情報を入力します。
  4. 該当の製品もしくはスイートをクリックします。
  5. [同意する(I Agree)]をクリックします。
  6. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
* 注意: Content and Cloud Security portal は承認番号を必要としませんが、顧客は MWG のライセンスと共に作成されたログインアカウントでアクセスする必要があります。
 
製品、ドキュメント、セキュリティ アップデート、Patch や Hotfix などのダウンロード方法については、以下の KB を参照ください。: KB56057
 
Hotfix / Patch の適用方法については、各製品のリリースノートやインストールガイド (同じダウンロードサイトから入手できます) の指示に従ってください。

回避策

 
ありません。提供される Hotfix/Patch/バージョン を適用してください。
  緩和策
McAfee Vulnerability Manager (MVM)  用の脆弱性検知シグネチャは、たびたび更新されます。

確認

These vulnerabilities was first disclosed by the OpenSSL Organization (https://www.openssl.org/news/secadv_20150319.txt) as a Security Advisory.
 
 

よくある質問(FAQ)

 
 

使用しているマカフィー製品が脆弱であるかどうかはどのように知ることができますか?
エンドポイント製品:
エンドポイントあるいはクライアントベースの製品にて下記手順を実施します:

  1. Windows タスクバーのマカフィートレイアイコンを右クリックします。
  2.  "コンソールを開く"クリックします。
  3. コンソール中の"アクションメニュー"クリックします。
  4. "アクションメニュー"から"製品の詳細"をクリックします。 製品バージョンが表示されます。

ePO / サーバー製品:
サーバーベースの製品にて下記手順を実施します:

  • インストールされている ePO のバージョンおよび構造をチェックしてください。バージョンの確認方法についての詳細につましては KB52634 を参照してください。
  • またはインストールされている製品のバージョンを確認する ePO のクエリを実行してください。

アプライアンスベースの製品:
アプライアンスベースの製品にて下記手順を実施します:

  1. 管理者ユーザインターフェイス (UI) を開きます。
  2. "バージョン情報"をクリックします。バージョン情報を表示します。
CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。 : http://www.first.org/cvss/
 
CVSS v2 のスコアを計算時、McAfee は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。
 
CVSS v3 スコアは3月25日の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0 
 

CVE-2015-0204: RSA silently downgrades to EXPORT_RSA
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:U/RC:C)

CVE-2015-0207: Segmentation fault in DTLSv1_listen  
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:U/RC:C)

CVE-2015-0208: Segmentation fault for invalid PSS parameters  
 
 Base Score 4.3
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Medium (M)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 3.7
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:N/C:N/I:N/A:P/E:U/RL:U/RC:C)

CVE-2015-0209: Use after free following d2i_ECPrivatekey error    
 
 Base Score 6.8
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Medium (M)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Partial (P)
 Integrity impact Partial (P)
 Availability impact Partial (P)
 Temporal Score (Overall) 5.8
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:U/RC:C)

CVE-2015-0285: Handshake with unseeded PRNG   
 
 Base Score 4.3
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Medium (M)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Partial (P)
 Integrity impact None (N)
 Availability impact None (N)
 Temporal Score (Overall) 3.7
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:U/RL:U/RC:C)

CVE-2015-0286: Segmentation fault in ASN1_TYPE_cmp  
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Functional Exploit Exists (F)
 Type of fix available (RemediationLevel) Temporary Fix (T)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:F/RL:TF/RC:C)

CVE-2015-0287: ASN.1 structure reuse memory corruption  
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Functional Exploit Exists (F)
 Type of fix available (RemediationLevel) Temporary Fix (T)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:F/RL:TF/RC:C)

CVE-2015-0288: X509_to_X509_REQ NULL pointer deref   
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:U/RC:C)

CVE-2015-0289: PKCS7 NULL pointer dereferences 
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Functional Exploit Exists (F)
 Type of fix available (RemediationLevel) Temporary Fix (T)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:F/RL:TF/RC:C)

CVE-2015-0290: Multiblock corrupted pointer
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:U/RC:C)

CVE-2015-0291: ClientHello signals DoS 

 

 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:U/RC:C)

CVE-2015-0292: Base64 decode  
 
 Base Score 7.5
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Partial (P)
 Integrity impact Partial (P)
 Availability impact Partial (P)
 Temporal Score (Overall) 6.4
 Availability of exploit (Exploitability) Functional Exploit Exists (F)
 Type of fix available (RemediationLevel) Temporary Fix (T)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P/E:F/RL:TF/RC:C)

CVE-2015-0293: DoS via reachable assert in SSLv2
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 4.3
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:U/RC:C)

CVE-2015-1787: Empty CKE with client auth and DHE
 
 Base Score 2.6
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) High (H)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall) 2.2
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Unavailable (U)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: CVSS version 2.0 was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:H/Au:N/C:N/I:N/A:P/E:U/RL:U/RC:C)

セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

リソース

テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.