Loading...

Intel Security 情報 - 6 月 11 日 に公開された、7 個の Open SSL CVE 脆弱性情報
セキュリティ情報 ID:   SB10122
最終更新:  2019/01/16
評価:


概要

脆弱性の影響:  Buffer Errors (CWE-119)
 Cryptographic Issues (CWE-310)
 Resource Management Errors (CWE-399)
CVE 情報
CVE 番号 重大度 Base CVSS v2 Scores 影響を受ける製品
CVE-2015-1788 Medium 4.3 Cloud Server 5 / CS Rest
McAfee Asset Manager (MAM)
McAfee Email Gateway (MEG) / Email and Web Security (EWS)
McAfee Firewall Enterprise (MFE)
McAfee Web Gateway (MWG)
Rogue System Detection 5.x (RSD)
CVE-2015-1789 Medium 4.3 Cloud Server 5 / CS Rest
GTI Proxy 2.0     
McAfee Agent (MA)     
McAfee Asset Manager (MAM)
MEG / EWS
MFE
McAfee Vulnerability Manager (MVM)
MWG
RSD 5.x
CVE-2015-1790 Medium 5.0 MAM
MFE
RSD 5.x
CVE-2015-1791     Medium 6.8 Cloud Server 5 / CS Rest
GTI Proxy 2.0 
MA                               
MAM
MEG /  EWS
MWG
RSD 5.x
CVE-2015-1792 High 5.0 Cloud Server 5 / CS Rest
GTI Proxy 2.0    
MAM     
MEG / EWS
RSD 5.x
CVE-2015-4000 Medium 4.3 Cloud Server 5 / CS Rest
MAM
MEG / EWS 
MFE
MWG
Network Security Management (NSM/NSP)
RSD 5.x
CVE-2014-8176 High 7.5 MAM  
MFE
RSD 5.x
 推奨手順: 緩和させるシグネチャ/ルールの配備を最初に実施してください。 
Patch / Hotfix の適用を実施してください。
 セキュリティ情報の修正: None   
 影響を受けるソフトウェア: 影響を受ける製品については「Intel Security 製品の脆弱性に対する状況」の項目を参照してください。
 アップデートソフトウェアの入手先:  http://www.mcafee.com/jp/downloads/downloads.aspx
 http://www.mcafee.com/us/downloads/downloads.aspx

記事のコンテンツ:

説明

2015 年 6 月 11 日 OpenSSL Project は複数の高から低のセキュリティ脆弱性のパッチをリリースしました。これらの脆弱性は、サービス拒否攻撃 (DoS)、中間者攻撃やメモリデータの破壊につながる可能性があります。

詳細な情報は、Open SSL 製品のセキュリティアドバイザリーで確認できます。
https://www.openssl.org/news/secadv_20150611.txt.

CVE-2015-1788 (CVSS Score: 4.3)
Malformed ECParameters causes infinite loop
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1788

 

CVE-2015-1789 (CVSS Score: 4.3)
Exploitable out-of-bounds read in X509_cmp_time [Client]
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1789

 

CVE-2015-1790 (CVSS Score: 5.0)
PKCS7 crash with missing EnvelopedContent
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1790

 

CVE-2015-1791 (CVSS Score: 6.8)
Race condition handling NewSessionTicket
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1791

 

CVE-2015-1792 (CVSS Score: 5.0)
CMS verify infinite loop with unknown hash function
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1792

 

CVE-2015-4000 (CVSS Score: 4.3)
DHE man-in-the-middle protection (Logjam)
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4000

 

CVE-2014-8176 (CVSS Score: 7.5)
Invalid free in DTLS
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8176

 

CWE-119
Buffer Errors
http://cwe.mitre.org/data/definitions/119.html

 

CWE-310
Cryptographic Issues
http://cwe.mitre.org/data/definitions/310.html

 

CWE-399
Resource Management Errors
http://cwe.mitre.org/data/definitions/399.html


Intel Security 製品の脆弱性に対する状況
過去の Open SSL 脆弱性の影響を受けた製品または新たに脆弱性の影響を受ける製品が下記にリストされています。

脆弱性対応製品
  1. ePolicy Orchestrator (ePO)
  2. GTI Proxy 2.0
  3. McAfee Firewall Enterprise (MFE)
  4. McAfee Asset Manager (MAM)
 
脆弱性の影響を受けている未対応製品
  1. Cloud Server 5 / CS Rest
  2. McAfee Agent (MA) 
  3. McAfee Email Gateway (MEG) / Email and Web Security (EWS)
  4. McAfee Vulnerability Manager (MVM)
  5. McAfee Web Gateway (MWG)
  6. Network Security Management (NSM/NSP)
  7. Rogue System Detection 5.x (RSD)
脆弱性の影響を受けない製品
  1. Capture Service (CS)
  2. Content Security Reporter (CSR)
  3. Data eXchange Layer (DXL) Framework
  4. Endpoint Intelligence Agent (EIA)
  5. McAfee Web Reporter (MWR)
  6. McAfee Security for Email Servers (MSES)
  7. McAfee Security for Lotus Domino (MSLD) / Domino Windows (MSDW)
  8. McAfee Security for Microsoft Exchange (MSME)
  9. McAfee Security for Microsoft SharePoint (MSMS)
  10. McAfee Security Information and Event Management (SIEM)
  11. McAfee Web Reporter (MWR)
  12. Network Security Management (NSM)
  13. Threat Intelligence Exchange (TIE)
  14. True Key / PasswordBox
  15. VirusScan Enterprise for Linux (VSEL)

脆弱性が報告されていない製品

  1. Advanced Threat Defense (ATD)
  2. ePO Deep Command (EDC)
  3. McAfee Firewall Enterprise Control Center (MFE CC)
  4. McAfee Global Threat Intelligence Proxy (GTI)
  5. McAfee SSL VPN (VPN)
  6. MQM McAfee Quarantine Manager (MQM)
  7. Next-Generation Firewall (NGFW) / Stonesoft
  8. Network Data Loss Prevention (NDLP)
  9. Network Threat Behavior Analysis (NTBA)
  10. SaaS Account Management (SaaSAM)
  11. SaaS Email Archiving (SEA)
  12. SaaS Email Protection and Continuity (SaaS Email)


各製品の概要については以下を参照してください。
http://www.mcafee.com/jp/apps/products-az.aspx



 

修正

製品のダウンロードサイトから、対応する製品の Patch/Hotfix をダウンロードしてください。

製品 Type File name リリース予定日
Cloud Server 5 / CS Rest 未定
ePO 5.x Hotfix EPO5x_HF1080544.zip  2015年10月28日
ePO 4.6.9 Hotfix EPO469HF1080853.zip  2015年10月28日
GTI Proxy 2.0 Patch   Patch 6 2015年7月15日
McAfee Agent (MA) 2015年9月30日
McAfee Asset Manager (MAM 6.6) except for CVE-2015-4000 Hotfix mam_hotfix_pack7.sh 2015年7月24日
McAfee Asset Manager (MAM 6.6) fix for CVE-2015-2808 Hotfix mam_hotfix_pack7.sh 2015年7月24日
McAfee Email Gateway (MEG) / Email and Web Security (EWS) Patch
EWS (Not available)
MEG 7.6.400
EWS (Not Available)
July 9, 2015

EWS (Not available)
McAfee Firewall Enterprise (MFE) 7.0.1.03 70103E73    2015年7月29日
McAfee Firewall Enterprise (MFE) 8.3.1 8.3.1E78   2015年7月29日
McAfee Firewall Enterprise (MFE) 8.3.2 8.3.2E55   2015年7月20日
McAfee Vulnerability Manager (MVM) 未定
McAfee Web Gateway (MWG) 2015年7月31日
Network Security Management (NSM/NSP) 2015年7月
Rogue System Detection 5.x (RSD) [part of MAM] 2015年7月

Intel Security / McAfee 製品、ドキュメント、セキュリティアップデート、Patch や Hotfix のダウンロードについては KB56057 を参照してください。
ドキュメントのタブからダウンロードできるリリースノートまたはインストールガイドを参考に適用してください。
 

特定の製品に関する注意事項
  • ePolicy Orchestrator 4.6.9 and 5.x
     この問題は 4.6.9、5.1.3、および 5.3.1 バージョン用の ePO 修正プログラムで解決されています。詳細については、次の ナレッジベースの資料(英語)を参照してください: KB84878 - ePolicy Orchestrator Sustaining Statement (SSC1506021) - ePO and the Logjam attack.
     
    • ePO 5.1.3, または 5.3.1 をご運用中の場合には hotfix EPO5x_HF1080544.zip を適用下さい。
    • ePO 4.6.9 をご運用中の場合には EPO469HF1080853.zip を適用下さい。
  • McAfee Agent
     
    • CVE-2015-1789: 脆弱性に該当しますが、影響を受けません。McAfeeSmartInstall、 または 4.8.x MAC OSX Agent で使用されているバージョンには、脆弱性に該当するOpen SSLのライブラリが含まれていますが、エージェント操作において攻撃可能なものではありません。 
    • CVE-2015-1791: 脆弱性に該当しますが、影響を受けません。McAfeeSmartInstall、 または 4.8.x MAC OSX Agent で使用されているバージョンには、脆弱性に該当するOpen SSLのライブラリが含まれていますが、エージェント操作において攻撃可能なものではありません。 
       
  • McAfee Asset Manager (MAM)

    • CVE-2015-4000: 脆弱性あり。MAM 6.6 Hotfix 7 は Logjam 脆弱性に対応していません。
    • CVE-2015-2808: 脆弱性あり。Hotfix ”mam_hotfix_pack7.sh”  はこの脆弱性に対応するため 2015年7月24日にリリースされます。
       
  • McAfee Email Gateway (MEG) / Email and Web Security (EWS)
    • ご利用のアプライアンスがePOで管理されている場合、ePOにて設定ファイルが上書きされないようにKB82606 に記載されたプロセス従ってください。、
    • Intel Security はアプライアンスから設定ファイルを保存し、別の環境に設定ファイルのコピーを保管しておくことを推奨します。現在の設定ファイルは常に安全な場所に保管し、そのコピーを編集してください。
    • アプライアンスの設定ファイルの保存、編集、復元方法の詳細はKB56323 をご参照ください。   

    Email Gateway 7.6:

    この問題は MEG 7.6.4 で修正されています。Service Portalにログインし、入手してください。https://support.mcafee.com/downloads. 各Patchは累積的なもののため、Intel Security は最新のPatchを適用することを推奨します。

    リリースノートは PD25949 を参照してください。
    既知の問題については KB78950 を参照してください。

    Email Gateway 7.5:
    次期リリース予定のhotfix MEG 7.5.6.1h1074259 にOpenSSL に関連したアップデートが含まれます。7.5.6.1h1074259 ではデフォルトでEXPORT ciphers が無効となります。 

    Email and Web Security 5.6:

    次期リリース予定の hotfix EWS 5.6h1054075 にOpenSSL に関連したアップデートが含まれます。
    hotfixがリリースされるまでは、脆弱性の回避策としてEXPORT ciphers無効にしてください。手順はこの記事のWorkaroundセクションに記載されています。
  • McAfee Firewall Enterprise (MFE)
    MFE  Patch ダウンロード場所:
  • Network Security Platform (NSP)
    現在の NSP SW は脆弱性 (SSH 経由) に該当しますが、2ステップの認証を必要とするため影響を受けません。7月にリリース予定の NSP 8.1 は脆弱性に該当しません (M、NS シリーズ共に)。

回避策

該当する Hotfix/Patch/バージョンを適用してください。

McAfee Email Gateway (MEG) / Email and Web Security (EWS)

重要: この脆弱性の回避策は、EXPORT ciphersを無効にすることです。 この回避策はPatchが適用されていないクライアントを取り扱うためにのみ必要です。
  1. アプライアンスの管理コンソールを開きます。
  2. システム、システムの管理、バックアップと復元をクリックします。
  3. 設定ファイルのコピーを保存します。
  4. クライアントPCにて新たなディレクトリを作成します。
  5. 保存した設定ファイルからsmtp-config.xmlを取り出し、このファイルのコピーを作成します。 

    注意: 編集すべきXMLファイルのみを展開し、すべての.zipファイルを展開しないようにしてください。すべての設定ファイルの展開は、設定の破損の原因になる可能性があります。
  6. Notepadもしくは他のプレーンテキストエディタで smtp-config.xml  ファイルを開きます。
  7. EXPORT ciphersを無効にします。:
    1. 右記のエントリに移動します: ForbiddenCiphers
    2.  <Attr name="1" value="EXPORT"/> という行 を下記の場所に追記します。:
      <ForbiddenCiphers>
      <Attr name="0" value="aNULL"/>
      <Attr name="1" value="EXPORT"/></ForbiddenCiphers>
       
    3. smtp-config.xml を保存します。もしプロンプトが出てきた場合には.txtを選択し、その他のフォーマットの削除に関する警告は無視してください。
       
      重要: もし、リッチテキスト形式で smtp-config.xml を保存した場合、データは破損してしまいます。in a rich text format, the data will be corrupted.
     
  8. 変更したsmtp-config.xml を設定ファイルに上書きします。Winzip、もしくはロングファイル名に対応した同等のアプリケーションを使用してください。
     
    注意: WinZip を使用する場合、フルパスの情報のオプションは有効ではありません。
     
  9. 変更された.zipファイルを バックアップと復元 ページからアプライアンスに復元します。
  10. 変更の適用をクリックします。.
緩和策

確認

These vulnerabilities were first disclosed by the OpenSSL Organization (https://www.openssl.org/news/secadv_20150611.txt) as a Security Advisory.

よくある質問(FAQ)

使用しているインテル セキュリティ製品が脆弱であるかどうかはどのように知ることができますか?

エンドポイント製品:
エンドポイントあるいはクライアントベースの製品にて下記手順を実施します:
  1. Windows タスクバーのマカフィートレイアイコンを右クリックします。 
  2.  "コンソールを開く"クリックします。
  3. コンソール中の"アクションメニュー"クリックします。
  4. "アクションメニュー"から"製品の詳細"をクリックします。 製品バージョンが表示されます。
For ePO / Server products:
サーバーベースの製品にて下記手順を実施します:
  • インストールされている ePO のバージョンおよび構造をチェックしてください。バージョンの確認方法についての詳細につましては KB52634 を参照してください。
  • またはインストールされている製品のバージョンを確認する ePO のクエリを実行してください。
アプライアンスベースの製品:
アプライアンスベースの製品にて下記手順を実施します:
  1. 管理者ユーザインターフェイス (UI) を開きます。
  2. "バージョン情報"をクリックします。バージョン情報を表示します。
CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。 : http://www.first.org/cvss/

CVSS v2 のスコアを計算時、Intel Security は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。

CVSS v3 スコアは 2015 年 3 月の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0
 
使用されるCVSSスコアリングメトリクスは何ですか?
 
CVE-2015-1788: Malformed ECParameters causes infinite loop
 
 Base Score 4.3
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Medium  (M)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-1788&vector=(AV:N/AC:M/Au:N/C:N/I:N/A:P)
 
CVE-2015-1789: Exploitable out-of-bounds read in X509_cmp_time
 
 Base Score 4.3
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) Medium  (M)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-1789&vector=(AV:N/AC:M/Au:N/C:N/I:N/A:P)
 
CVE-2015-1790: PKCS7 crash with missing EnvelopedContent
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-1790&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P)
 
CVE-2015-1791: Race condition handling NewSessionTicket    
 
 Base Score 6.8
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Medium (M)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Partial (P)
 Integrity impact Partial (P)
 Availability impact Partial (P)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-1791&vector=(AV:N/AC:M/Au:N/C:P/I:P/A:P)
 
CVE-2015-1792: CMS verify infinite loop with unknown hash function
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-1792&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P)
 
CVE-2015-4000: DHE man-in-the-middle protection (Logjam)
 
 Base Score 4.3
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Medium (M)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact Partial (P)
 Availability impact None (N)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2015-4000&vector=(AV:N/AC:M/Au:N/C:N/I:P/A:N)
 
CVE-2014-8176: Invalid free in DTLS
 
 Base Score 7.5
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Partial (P)
 Integrity impact Partial (P)
 Availability impact Partial (P)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2014-8176&vector=(AV:N/AC:L/Au:N/C:P/I:P/A:P)

セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

リソース

 
テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. Intel Security disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Intel Security or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if Intel Security or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese