Loading...

インテル セキュリティ- セキュリティ情報: McAfee Agent (MA) のパッチで対応される Libcurl に関する 3 つの脆弱性
セキュリティ情報 ID:   SB10131
最終更新:  2015/09/01
評価:


概要

  脆弱性の重大度:  
 CVE-2015-3236:
 不適切な認証 / Authentication Issue (CWE-287)
 不適切なセッション期限 / Insufficient Session Expiration (CWE-613)
 不完全な認証とセッション管理 / Broken Authentication and Session Mgt (CWE-930, OWASP 2013:A2)

 CVE-2014-8150:
 CRLF インジェクション / CRLF Injection (CWE-93)
 インジェクション / Injection (OWASP 2013:A1)

 CVE-2015-3153:
 情報の露呈 / Information Exposure (CWE-93)
 機密データの露呈 / Sensitive Data Exposure (OWASP 2013:A6)
  CVE 番号:
  • CVE-2015-3236
  • CVE-2014-8150
  • CVE-2015-3153
  セキュリティレーティング:  中
  Base / Overall CVSS v2 スコア:
  • 5.0 / 3.7 (CVE-2015-3236)
  • 4.3 / 3.2 (CVE-2014-8150)
  • 5.0 / 3.9 (CVE-2015-3153)
  Base / Overall CVSS v3 スコア:  (Pre-ratification) 
  • 7.4 / 6.4 (CVE-2015-3236)
  • 4.3 / 3.8 (CVE-2014-8150)
  • 4.3 / 3.9 (CVE-2015-3153)
  推奨される対策:  MA 4.8.0 Patch 3 HF3, MA 5.0.2 へのアップグレード、もしくインストール
  セキュリティ情報の修正:  なし
  影響を受けるソフトウェア:  McAfee Agent 5.0.1、またはそれ以前のバージョン
  最新ソフトウェアの入手:  http://www.mcafee.com/japan/licensed2/

説明

このマカフィーエージェントのリリースには、複数の脆弱性に対処するためのアップグレードされた libcurl のライブラリがバンドルされています: 
  • 1つ目の脆弱性が利用されると、リモート攻撃者は機密情報を入手することができるようになります。
  • 2つ目の脆弱性が利用されると、攻撃者は HTTPプロキシ使用して特別に細工されたURLにアクセスのうえ、libcurl を使用してアプリケーションを作成する可能性があります。 攻撃者は意図していない方法で追加リクエストを実行するために、この脆弱性を利用することができるようになります。
  • 最後の脆弱性が利用されると、 libcurl のデフォルト設定では、プロキシおよび宛先サーバの両方にカスタム HTTP ヘッダを送信するため、機密情報を取得される可能性があります。
 
注意: このリリースには、セキュリティ修正プログラムが含まれています。 (http://curl.haxx.se/CVE-2015-3236.patch)
 
CVE-2015-3236:
HTTP ベーシック認証の資格情報問題 / HTTP Basic authentication credentials issue
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3236
 
CWE-287
不適切な認証 / Improper Authentication
https://cwe.mitre.org/data/definitions/287.html
 
CWE-613
不適切なセッション期限 / Insufficient Session Expiration
https://cwe.mitre.org/data/definitions/613.html
 
OWASP 2013:A2
不完全な認証とセッション管理 / Broken Authentication and Session Management
https://www.owasp.org/index.php/OWASP_Top_10
https://www.owasp.org/index.php/Top_10_2013-A2-Broken_Authentication_and_Session_Management
 
この欠陥は 7.40.0を含め、7.42.1までの libcurl ライブラリの脆弱性の影響を受けるバージョンが含まれた、McAfee Agentを使用されている場合に発生します。
 
影響を受けるコンポーネント:
  • McAfee Agent と ePolicy Orchestrator (ePO), またはアップデートリポジトリ とのコミュニケーション
CVE-2014-8150:
URL リクエスト インジェクション / URL request injection
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8150
 
CWE-93
CRLF インジェクション / CRLF Injection
https://cwe.mitre.org/data/definitions/93.html
 
 
HTTP プロキシを使用することにより、、リモート攻撃者によってURL の CRLF シーケンスを介して、任意の HTTP ヘッダを挿入され、HTTP レスポンス分割攻撃を実行される可能性があります。
 
影響を受けるコンポーネント:
  • McAfee Agent と ePolicy Orchestrator (ePO), またはアップデートリポジトリ とのコミュニケーション
CVE-2015-3153:
URL リクエスト インジェクション / URL request injection
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3153
 
CWE-93
情報の露呈 / Information Exposure
https://cwe.mitre.org/data/definitions/200.html
 
 
プロキシ、および宛先サーバの両方にカスタム HTTP ヘッダを送信するため、機密情報を取得される可能性があります。
 
影響を受けるコンポーネント:
  • McAfee Agent と ePolicy Orchestrator (ePO), またはアップデートリポジトリ とのコミュニケーション

修正

以下の McAfee Agent バージョンのインストール、またアップデートください。:
製品のダウンロードページにアクセスし、適切な製品パッチを入手してください。:
 
製品 パッケージタイプ バージョン ファイル名 リリース日
McAfee Agent 5.0.2 for Windows Patch 5.0.2 MA502WIN.zip 2015年08月31日
McAfee Agent 5.0.2 for Linux Patch 5.0.2 MA502LNX.zip 2015年08月31日
McAfee Agent 5.0.2 for Mac OS Patch 5.0.2 MA502MAC.zip 2015年08月31日
McAfee Agent 5.0.2 for Win Embedded Patch 5.0.2 MA502WIN_Embedded.zip 2015年08月31日
McAfee Agent 4.8.0 for Windows Hotfix  4.8.0 Patch3 – HF3 MA480P3HF3WIN.zip 2015年08月31日
McAfee Agent 4.8.0 for Linux Hotfix 4.8.0 Patch3 – HF3 MA480P3HF3LNX.zip 2015年08月31日
McAfee Agent 4.8.0 for Mac OS        Hotfix 4.8.0 Patch3 – HF3 MA480P3HF3MAC.zip 2015年08月31日
McAfee Agent 4.8.0 for Solaris   Hotfix 4.8.0 Patch3 – HF3 MA480P3HF3SOL.zip 2015年08月31日
McAfee Agent 4.8.0 for HPUX Hotfix 4.8.0 Patch3 – HF3 MA480P3HF3HPX.zip 2015年08月31日
McAfee Agent 4.8.0 for AIX Hotfix 4.8.0 Patch3 – HF3 MA480P3HF3AIX.zip 2015年08月31日

マカフィー製品の入手方法
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ へアクセスします。
  3. 有効な承認番号、および画面に表示されるコードを入力します。
  4. 該当の製品、もしくはスイートをクリックします。
  5. [同意する]をクリックします。
製品、ドキュメント、セキュリティ アップデート、Patch や Hotfix などのダウンロード方法については、以下の KB を参照ください。: KB56057
 
Hotfix / Patch の適用方法については、各製品のリリースノートやインストールガイド (同じダウンロードサイトから入手できます) の指示に従ってください。

PRODUCT_SPECIFIC_NOTES

インテル セキュリティは、HTTP プロキシ、またはリポジトリを環境内でご運用中の場合には、McAfee Agent をこのリリースへアップグレードすることを強く推奨します。

回避策

回避策はありません、 "Remediation"テーブルで提供されている Patch、または Hotfix のインストールください。

MITIGATIONS

なし

確認

この脆弱性はMITRE Corporation によって最初に発見されました。

よくある質問(FAQ)

どのようにして使用しているマカフィー製品が脆弱であるかを知ることができますか?

エンドポイントまたはクライアントベースの製品につきましては、以下の手順を使用してください:
  1. Windows タスクバー上の McAfee tray shield アイコンをク右クリックします。
  2. コンソールを開く を選択します。
  3. コンソール上で, アクションメニューを選択します。
  4. アクションメニュー上で、製品情報を選択し、‘McAfee Agent’ の製品バージョンを表示させます。
ePO またはサーバーベースの製品につきましては以下の手順を使用してください:
  • ePO のバージョン/ビルドを確認します。詳細な手順については KB52634 をご参照ください。
  • もしくは、ePO にてインストール済み製品の製品バージョンを確認するクエリを作成します。
アプライアンスベースの製品につきましては、以下の手順を使用してください:
  1. Administrator's User Interface (UI) を開きます。
  2. About リンクをクリックします。 製品バージョンが表示されます。
DLPe 製品につきましては、以下の手順を使用してください:
  1. ePO サーバーにログインします。
  2. メニュー > データ保護 > DLP ポリシー をクリックします。
  3. ヘルプ > バージョン情報 から確認できます。
CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。 : http://www.first.org/cvss/
 
CVSS v2 のスコアを計算時、Intel Security は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。
 
CVSS v3 スコアは3月25日の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0 

 
使用されるCVSSスコアリングメトリクスは何ですか?
 
CVE-2015-3236:

CVSS v2 Scoring:
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Partial (P)
 Integrity impact None (N)
 Availability impact None (N)
 Temporal Score (Overall)
3.7
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:OF/RC:C)

Alternate CVSS v3 Scoring:
 
 Base Score 7.4
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) Required (R)
 Scope (S) Changed (C)
Confidentiality (C) High (H)
Integrity (I) None (N)
Availability (A) None (N)
 Temporal Score (Overall)
6.4
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N/E:U/RL:O/RC:C/CR:H/IR:L/AR:L/MAV:N
 
CVE-2014-8150:

CVSS v2 Scoring:
 
 Base Score 4.3
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Medium (M)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact Partial (P)
 Availability impact None (N)
 Temporal Score (Overall)
3.2
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)

Alternate CVSS v3 Scoring:
 
 Base Score 4.3
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) Required (R)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) Low (L)
Availability (A) None (N)
 Temporal Score (Overall)
3.8
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C/CR:H/IR:L/AR:L/MAV:N
 
CVE-2015-3153:

CVSS v2 Scoring:
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Partial (P)
 Integrity impact None (N)
 Availability impact None (N)
 Temporal Score (Overall)
3.9
 Availability of exploit (Exploitability) Proof of concept code (POC)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:P/I:N/A:N/E:POC/RL:OF/RC:C)

Alternate CVSS v3 Scoring:
 
 Base Score 4.3
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) Required (R)
 Scope (S) Unchanged (U)
Confidentiality (C) Low (L)
Integrity (I) None (N)
Availability (A) None (N)
 Temporal Score (Overall)
3.9
 Exploitability (E) Proof-Of-Concept (P)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N/E:P/RL:O/RC:C/CR:H/IR:L/AR:L/MAV:N

セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。
http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

リソース

テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. Intel Security disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Intel Security or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if Intel Security or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time. 
 

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese