Loading...

インテル セキュリティ情報 - ePolicy orchestrator (ePO) の更新で対応される複数の脆弱性 (Oracle: Java 2015年10月)
セキュリティ情報 ID:   SB10141
最終更新:  2015/12/03
評価:


概要

 脆弱性の種類:  不特定攻撃 (Unspecified Attacks)
 CVE 番号:
  • CVE-2015-4868
  • CVE-2015-4803
  • CVE-2015-4893
  • CVE-2015-4911
  • CVE-2015-4872
 セキュリティレーティング:  高
 CVSS v3 スコア:
  • 8.1 / 7.1
  • 5.3 / 4.6
  • 5.3 / 4.6
  • 5.3 / 4.6
  • 5.3 / 4.6
 CVSS v2 スコア:
  • 7.6 / 5.6
  • 5.0 / 3.7
  • 5.0 / 3.7
  • 5.0 / 3.7
  • 5.0 / 3.7
 推奨される対策:  Hotfix の適用
 セキュリティ情報の修正:  なし
 影響を受けるソフトウェア:
  • ePO 4.6.9  (およびそれ以前のバージョン)
  • ePO 5.1.3  (およびそれ以前のバージョン)
  • ePO 5.3.1  (およびそれ以前のバージョン)
 更新ソフトウェアの入手先:  http://www.mcafee.com/japan/licensed2/

この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。

説明

CVE から報告された "Oracle's October 2015 Java SE update" について、ePO は サーバーの機密性、完全性、可用性に影響を与える脆弱性があります。
 
Oracle クリティカルパッチアップデートセキュリティアラートおよびサードパーティのリストにつきましては以下を参照下さい:
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html
 
このインテルセキュリティ ePO アップデートは以下の問題を解決します:  
CVE-2015-4868
Oracle Java SE  8u60 および Java SE Embedded 8u51 には、リモート攻撃者がライブラリに関連する未知のベクトルを経由することにより、機密性、完全性、および可用性に影響を与える脆弱性が存在します。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4868
 
CVE-2015-4803
Oracle Java SE 6u101, 7u85, 8u60、Java SE Embedded 8u51、および JRockit R28.3.7 には、リモート攻撃者が JAXP に関連する未知のベクトルを経由することにより、可用性に影響を与える脆弱性が存在します。本脆弱性は、CVE-2015-4893 および CVE-2015-4911 とは異なる脆弱性です。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4803
 
CVE-2015-4893
Oracle Java SE  6u101, 7u85, 8u60、Java SE Embedded 8u51、および JRockit R28.3.7 には、リモート攻撃者が JAXP に関連する未知のベクトルを経由することにより、可用性に影響を与える脆弱性が存在します。本脆弱性は、CVE-2015-4803 および CVE-2015-4911 とは異なる脆弱性です。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4893
 
CVE-2015-4911
Oracle Java SE 6u101, 7u85, 8u60、Java SE Embedded 8u51、および JRockit R28.3.7 には、リモート攻撃者が JAXP に関連する未知のベクトルを経由することにより、可用性に影響を与える脆弱性が存在します。本脆弱性は、CVE-2015-4803 および CVE-2015-4893 とは異なる脆弱性です。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4911
 
CVE-2015-4872
Oracle Java SE 6u101, 7u85, 8u60、Java SE Embedded 8u51、および JRockit R28.3.7 には、リモート攻撃者がセキュリティに関連する未知のベクトルを経由することにより、完全性に影響を与える脆弱性が存在します。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4872
 
影響を受けるコンポーネント:
  • ePO Java core web services

修正

Oracle Java 7.0 は2015年04月でサポートが終了(EOL)しています。 ePO 5.1.x と 5.3.x で現在サポートされる Java バージョンは Java 8.0 へアップグレードされました。 
 
ePO 5.x Hotfix 1102635 にはこのセキュリティの修正が含まれています。またこれらの修正は次期リリースパッチへも含まれる予定です。 
  • ePO 4.6.x をご使用中の場合には ePO 5.1.3、または 5.3.1 へアップグレード後に Hotfix EPO5xHF1102635.zip を適用する必要があります。
  • ePO 5.0.x 以降 と 5.1.x ユーザは ePO 5.1.3、または 5.3.1 へアップグレード後に Hotfix EPO5xHF1102635.zip を適用する必要があります。 
  • Users of ePO 5.3.0 should upgrade to ePO 5.3.1 and then apply Hotfix EPO5xHF1102635.zip. ePO 5.3.0 ユーザは ePO 5.3.1 へアップグレード後に Hotfix EPO5xHF1102635.zip を適用ください。 
詳細につきましては Hotfix リリースノートのアップグレードステップを参照ください。
 
注意: FIPS に準拠したインストールを維持するために、 FIPS 140-2 でインストールされている ePO 4.6.4 を ePO 5.1.x  へアップグレードすることができます。

製品ダウンロードサイトへアクセスのうえ、以下のファイルをダウンロードしてください:
 
製品 タイプ ファイル名 リリース日 (US時間)
ePO 5.1.3     Hotfix EPO5xHF1102635.zip 2015年12月03日
ePO 5.3.1 Hotfix EPO5xHF1102635.zip 2015年12月03日
 
製品のダウンロード方法:
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ へアクセスします。
  3. 有効な承認番号および画面に表示される文字列を入力して、[送信] をクリックします。
  4. 該当の製品もしくはスイートをクリックします。
  5. [同意する]をクリックします。
  6. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
インテルセキュリティ製品の詳細なダウンロードに関しては KB56057 、インストール/アップグレード方法につきましては、ダウンロードサイトへ掲載している製品インストールガイドやリリースノートにて、それぞれご確認下さい。

回避策

なし 、提供されている対応パッチバージョンへのアップグレードを強く推奨します。

MITIGATIONS

なし

確認

この脆弱性は 2015 年 10月の   Oracle's pre-patch announcement for the October 2015 quarterly Security Bulletin によって初めて公開されました: http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html.

よくある質問(FAQ)

どのようにしてインテルセキュリティ製品が脆弱であるかを確認できますか?

ePO / サーバ製品 :
サーバベースの製品につきましては、KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。 

CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。
詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/
 
CVSS v2 のスコアを計算時、Intel Security は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。
 
CVSS v3 スコアは3月25日の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0 
 
使用される CVSS スコアリングメトリクスは何ですか?
 
CVE-2015-4868: Intel Security ePO and Oracle JRE

CVSS v3 Scoring:
 
 Base Score 8.1
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) High (H)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) High (H)
Integrity (I) High (H)
Availability (A) High (H)
 Temporal Score (Overall)
7.1
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C

CVSS v2.0 Scoring:
 
 Base Score 7.6
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) High (H)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact Complete (C)
 Integrity impact Complete (C)
 Availability impact Complete (C)
 Temporal Score (Overall)
5.6
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:H/Au:N/C:C/I:C/A:C/E:U/RL:OF/RC:C)
 
CVE-2015-4803: Intel Security ePO and Oracle JRE

CVSS v3 Scoring:
 
 Base Score 5.3
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) Low (L)
 Temporal Score (Overall)
4.6
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C

CVSS v2.0 Scoring:
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall)
3.7
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
 
CVE-2015-4893: Intel Security ePO and Oracle JRE

CVSS v3 Scoring:
 
 Base Score 5.3
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) Low (L)
 Temporal Score (Overall)
4.6
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C

CVSS v2.0 Scoring:
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall)
3.7
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
 
CVE-2015-4911: Intel Security ePO and Oracle JRE

CVSS v3 Scoring:
 
 Base Score 5.3
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) Low (L)
 Temporal Score (Overall)
4.6
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C

CVSS v2.0 Scoring:
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact None (N)
 Availability impact Partial (P)
 Temporal Score (Overall)
3.7
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:N/A:P/E:U/RL:OF/RC:C)
 
CVE-2015-4872: Intel Security ePO and Oracle JRE

CVSS v3 Scoring:
 
 Base Score 5.3
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) Low (L)
Availability (A) None (N)
 Temporal Score (Overall)
4.6
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 (beta) vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C

CVSS v2.0 Scoring:
 
 Base Score 5.0
 Related exploit range (AccessVector) Network (N)
 Attack complexity (AccessComplexity) Low (L)
 Level of authentication needed (Authentication) None (N)
 Confidentiality impact None (N)
 Integrity impact Partial (P)
 Availability impact None (N)
 Temporal Score (Overall)
3.7
 Availability of exploit (Exploitability) Unproven that Exploit Exists (U)
 Type of fix available (RemediationLevel) Official Fix (OF)
 Level of verification that vulnerability exists (ReportConfidence) Confirmed (C)

NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
 
セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

リソース

テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. Intel Security disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Intel Security or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if Intel Security or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.