Loading...

インテル セキュリティ - McAfee Agent パッチで修正されるリモートログ参照機能に関する脆弱性
セキュリティ情報 ID:   SB10130
最終更新:  2015/08/31
評価:


概要


 脆弱性の重大度:  Path Traversal (CWE-21)
 Directory Traversal (CWE-22)
 Insecure Direct Object References (CWE-932, OWASP 2013:A4)
 CVE 番号:  なし
 セキュリティレーティング:  中
 Base / Overall CVSS v2 スコア:
 4.3 / 3.4
 Base / Overall CVSS v3 スコア:  4.7 / 4.2  (Pre-ratification)
 推奨される対策:  MA 5.0.2 のインストール / アップデート
 セキュリティ情報の修正:  なし
 影響を受けるソフトウェア:  MA 5.0.0、もしくは MA 5.0.1
 最新ソフトウェアの入手:  http://www.mcafee.com/japan/licensed2/


説明

McAfee Agent パッチでは、リモートロギングの参照機能において、正当性を完全に確認せずに入力された URL を引き渡す脆弱性が修正されます。

修正

以下 McAfee Agent バージョンのインストール、またアップデートください。
製品のダウンロードページにアクセスし、適切な製品パッチを入手してください。
 
製品 パッケージタイプ バージョン ファイル名
リリース日
McAfee Agent 5.0.2 for Windows              Patch 5.0.2 MA502WIN.zip 2015 年 8 月 31 日
McAfee Agent 5.0.2 for Linux  Patch 5.0.2 MA502LNX.zip 2015 年 8 月 31 日
McAfee Agent 5.0.2 for Mac OS Patch 5.0.2 MA502MAC.zip 2015 年 8 月 31 日
McAfee Agent 5.0.2 for Windows Embedded Patch 5.0.2 MA502WIN_Embedded.zip 2015 年 8 月 31 日

マカフィー製品の入手方法
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ へアクセスします。
  3. 有効な承認番号、および画面に表示されるコードを入力します。
  4. 該当の製品、もしくはスイートをクリックします。
  5. [同意する]をクリックします。
製品、ドキュメント、セキュリティ アップデート、Patch や Hotfix などのダウンロード方法については、以下の KB を参照ください。: KB56057
 
Hotfix / Patch の適用方法については、各製品のリリースノートやインストールガイド (同じダウンロードサイトから入手できます) の指示に従ってください。

PRODUCT_SPECIFIC_NOTES

本脆弱性のへ影響は以下 2 つの条件が満たされた場合にのみ受けます。これらはデフォルトでは無効です。
  • McAfee Agent リモートロギング機能が有効となっている
  • リモートログへのアクセスが ePO サーバ管理者に限定されていない
上記の両条件が満たされた場合、McAfee Agent に対して不正な URL を引き渡すことができます。
 
影響を受けるコンポーネント:
  • McAfee Agent リモートロギング機能

回避策

下記いずれかの回避策を選択します。
  • McAfee Agent のリモートロギング機能をポリシーで無効化する
  • リモートログへのアクセスを ePO サーバ管理者に限定する

MITIGATIONS

なし

確認

なし

よくある質問(FAQ)

どのようにして使用しているマカフィー製品が脆弱であるかを知ることができますか?

エンドポイントまたはクライアントベースの製品につきましては、以下の手順を使用してください:
  1. Windows タスクバー上の McAfee tray shield アイコンをク右クリックします。
  2. コンソールを開く を選択します。
  3. コンソール上で, アクションメニューを選択します。
  4. アクションメニュー上で、製品情報を選択し、‘McAfee Agent’ の製品バージョンを表示させます。
ePO またはサーバーベースの製品につきましては以下の手順を使用してください:
  • ePO のバージョン/ビルドを確認します。詳細な手順については KB52634 をご参照ください。
  • もしくは、ePO にてインストール済み製品の製品バージョンを確認するクエリを作成します。
アプライアンスベースの製品につきましては、以下の手順を使用してください:
  1. Administrator's User Interface (UI) を開きます。
  2. About リンクをクリックします。 製品バージョンが表示されます。
DLPe 製品につきましては、以下の手順を使用してください:
  1. ePO サーバーにログインします。
  2. メニュー > データ保護 > DLP ポリシー をクリックします。
  3. ヘルプ > バージョン情報 から確認できます。

CVSS とは何ですか?

CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。 : http://www.first.org/cvss/
 
CVSS v2 のスコアを計算時、Intel Security は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。
 
CVSS v3 スコアは3月25日の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0 

使用されるCVSSスコアリングメトリクスは何ですか?

CVSS v2 scoring:
 
 Base Score 4.3
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Medium (M)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Partial (P)
 Integrity impact None (N)
 Availability impact None (N)
 Temporal Score (Overall)
3.4
 Availability of exploit (Exploitability) Proof of concept code (POC)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:N/C:P/I:N/A:N/E:POC/RL:OF/RC:C)

Alternate CVSS v3 Scoring:
 
 Base Score 4.7
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) Required (R)
 Scope (S) Changed (C)
Confidentiality (C) Low (L)
Integrity (I) None (N)
Availability (A) None (N)
 Temporal Score (Overall)
4.2
 Exploitability (E) Proof-of-Concept (P)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:N/A:N/E:P/RL:O/RC:C

セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。
http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

リソース

テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. Intel Security disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Intel Security or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if Intel Security or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese