Loading...

Intel Security - セキュリティ情報: Threat Intelligence Exchange 1.3.0 データベースと Open SSL に関する複数の障害の修正
セキュリティ情報 ID:   SB10152
最終更新:  2016/03/30

概要

 脆弱性の影響:  なりすましによる認証回避 (CWE-290)
 リスクのある暗号化アルゴリズムの使用 (CWE-327)
 管理されていないリソース消費 (CWE-400)
 領域外の書き込み (CWE-787)
 CVE 番号:  CVE-2016-0773
 CVE-2016-2842
 重大度:  Medium
 Base / Overall CVSS v3 Scores:
  • Database authentication is vulnerable to IP spoofing attacks: 5.5
  • CVE-2016-2842: 5.4
  • Use of the MD5 algorithm by PostgreSQL for sensitive data at rest: 4.2
  • CVE-2016-0773: 4.8
 推奨手順:  Upgrade to Threat Intelligence Exchange (TIE) Server 1.3.0
 セキュリティ情報の修正:  None
 影響を受けるソフトウェアe:  TIE Server 1.2.1 and earlier
 アップデートソフトウェアの入手先:  http://www.mcafee.com/jp/downloads/downloads.aspx
 http://www.mcafee.com/us/downloads/downloads.aspx
記事のコンテンツ:

説明

この更新で以下の問題を修正しています。

  • IP の偽装攻撃によるデータベース認証の脆弱性
    パスワード認証加えて、TIE Server 上の PostgreSQL database は信頼されたホストの IP アドレスからの接続を除いてすべての接続を拒否することが設定できます。この IP ベースの認証は信頼されたホストの IP アドレスをなりすますことで攻撃可能な場合があります。
     
  • OpenSSL - メモリの割り当ての正常性確認を行わない内部機能により潜在的なサービス拒否攻撃 (CVE-2016-2842)
    OpenSSL 1.0.1 から 1.0.1s または 1.0.2 から 1.0.2g の crypto/bio/b_print.c にあるdoapr_outch ファンクションはメモリの割り当てが成功したか確認しません。これにより、リモートの攻撃者はサービス停止 (領域外の書き込みやメモリの消費) を引き起こすことができます。また、大量のASN.1 データを使うなど長い文字列を使うことで、特定されていない他の影響があるかもしれません。
     
  • MD5 アルゴリズムの使用によるPostgreSQL の機密データへの保護
    TIE Server はPostgreSQL データベースを内部で使用しています。TIE Server 1.2.1 以前では、ユーザー認証はパスワードを使用しています。パスワードはハッシュ化し、ソルトされ、ハッシュ化のアルゴリズムには暗号化の弱点がある MD5が使用されます。ソルトされたハッシュを所有すれば TIE Server への認証が可能になります。TIE Server 1.2.1 では、ハッシュは受動的な盗聴から TLS を使うことで保護されます。しかし、ソルト、ハッシュ化されたパスワードはPostgreSQL データベース内に保存されます。それらのハッシュ化されたパスワードへのアクセスは、PostgreSQL サービスが実行されている system ユーザー、root ユーザー、データベースの super-user に制限されます。
     
  • PostgreSQL - サービス停止を引き起こす正規表現の脆弱性 (CVE-2016-0773)
    PostgreSQL 9.3.11 より前の 9.3.x はリモートの攻撃者が大きい Unicode 文字のレンジを正規表現内で使うことでサービス停止 (無限ループまたはバッファーオバーフローによるクラッシュ) の攻撃を可能にします。TIE Server 1.2.1 以前では、PostgreSQL 9.3.10 が使われており、脆弱性に該当する正規表現を使用しています。

修正

このデータベースの問題は、パスワードベース認証から証明書ベースの認証への変更と PostgreSQL to 9.3.11 にアップデートした Threat Intelligence Exchange Server 1.3.0 を使用することで解決します。
 
Open SSL の脆弱性は、1.0.1s のライブラリに更新することで解決しています。
 
製品のダウンロードサイトにアクセスし、適切な製品パッチをダウンロードしてください。

Product Type Version File Name Release Date
TIE Server 1.3.0 Update 1.3.0 TIEServer_1.3.0.235.x86_64-MAIN March 29, 2016

追加のパッチ情報
手順や互換性の問題などこれらの更新に関する追加の情報は、PD26435 - Threat Intelligence Exchange 1.3.0 Release Notes を参照してください。

ダウンロード、インストールの手順
Intel Security / McAfee 製品、ドキュメント、セキュリティアップデート、Patch や Hotfix のダウンロードについては KB56057 を参照してください。
ドキュメントのタブからダウンロードできるリリースノートまたはインストールガイドを参考に適用してください

回避策

なし。提供している更新された製品のパッチをインストールしてください。

MITIGATIONS

このリリース内の修正パッケージで緩和処置が適用されています。

確認

なし。

よくある質問(FAQ)

使用しているインテル セキュリティ製品が脆弱であるかどうかはどのように知ることができますか?

エンドポイント製品:
エンドポイントあるいはクライアントベースの製品にて下記手順を実施します:
  1. Windows タスクバーのマカフィートレイアイコンを右クリックします。 
  2.  "コンソールを開く"クリックします。
  3. コンソール中の"アクションメニュー"クリックします。
  4. "アクションメニュー"から"製品の詳細"をクリックします。 製品バージョンが表示されます。

For ePO:
サーバーベースの製品にて下記手順を実施します:

  • インストールされている ePO のバージョンおよび構造をチェックしてください。バージョンの確認方法についての詳細につましては KB52634 を参照してください。
  • またはインストールされている製品のバージョンを確認する ePO のクエリを実行してください。

アプライアンスベースの製品:
アプライアンスベースの製品にて下記手順を実施します:

  1. 管理者ユーザインターフェイス (UI) を開きます。
  2. "バージョン情報"をクリックします。バージョン情報を表示します。
CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。 : http://www.first.org/cvss/

CVSS v2 のスコアを計算時、Intel Security は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。

CVSS v3 スコアは 2015 年 3 月の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0

使用されるCVSSスコアリングメトリクスは何ですか?

Database authentication is vulnerable to IP spoofing attacks:
 
CVSS v3 Scoring:
Base Score 5.5
 Attack Vector (AV) Adjacent (A)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) Low (L)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) Low (L)
Integrity (I) Low (L)
Availability (A) Low (L)
 Temporal Score (Overall)
5.1
 Exploitability (E) Functional (F)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Not Defined (X)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:F/RL:O

OpenSSL - Internal function does not verify successful memory allocation potentially resulting in a denial of service (CVE-2016-2842):
 
CVSS v3.0 Scoring:
 
 Base Score 5.4
 Attack Vector (AV) Adjacent (A)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) Low (L)
Availability (A) Low (L)
 Temporal Score (Overall)
4.3
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Unknown (U)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L/E:U/RL:O/RC:U
 
Use of the MD5 algorithm by PostgreSQL for sensitive data at rest:
 
CVSS v3.0 Scoring:
 
 Base Score 4.2
 Attack Vector (AV) Local (L)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) High (H)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) Low (L)
Integrity (I) Low (L)
Availability (A) Low (L)
 Temporal Score (Overall)
3.9
 Exploitability (E) Functional (F)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Not Defined (X)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L/E:F/RL:O
 
PostgreSQL - Regular expressions are vulnerable to a denial of service (CVE-2016-0773):
 
CVSS v3.0 Scoring:
 
 Base Score 4.8
 Attack Vector (AV) Adjacent Network (A)
 Attack Complexity (AC) High (H)
 Privileges Required (PR) Low (L)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) High (L)
 Temporal Score (Overall)
4.2
 Exploitability (E) Unproven that exploit exists (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/cvss/v3-calculator?vector=AV:A/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C

セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx


リソース

テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. Intel Security disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Intel Security or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if Intel Security or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese