Loading...

Intel Security - セキュリティ情報: ePolicy Orchestrator の更新で対応される OpenSSL に関する複数の脆弱性 (CVE-2016-6304, CVE-2016-2183, CVE-2016-2182, CVE-2016-7052)
セキュリティ情報 ID:   SB10171
最終更新:  2016/10/10

概要

公開日(初回): 10/10/2016 (US時間)
 
 脆弱性の重大度:  DoS 攻撃
 CVE 番号:  CVE-2016-6304
 CVE-2016-2183
 CVE-2016-2182
 CVE-2016-7052
 セキュリティレーティング:  中
 Base / Overall CVSS v3 スコア:  4.4 / 3.9
 5.3 / 4.6
 4.4 / 3.9
 4.4 / 4.0
 推奨される対策:  ePolicy Orchestrator (ePO) 5.x Hotfix 1159423 の適用
 セキュリティ情報の修正:  なし
 影響を受けるソフトウェア:
  • ePO 5.1.3 以前のバージョン
  • ePO 5.3.2 以前のバージョン
 最新ソフトウェアの入手先:  http://www.mcafee.com/japan/licensed2/ (日本) 
 http://www.mcafee.com/us/downloads/downloads.aspx (US)

この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。

コンテンツ:

説明

ePO 5.1.3 以前、および ePO 5.3.2 以前のバージョンは 2016年9月22日 に公開され、2016年9月26日に改訂された以下の脆弱性のある OpenSSL バージョンを使用しています。最新のセキュリティ修正プログラムでは OpenSSL1.0.2j へ更新することができます。
 
https://www.openssl.org/news/secadv/20160926.txt
https://www.openssl.org/news/secadv/20160922.txt
  • CVE-2016-6304
  • CVE-2016-2183
  • CVE-2016-2182
  • CVE-2016-7052
注意:
CVE-2016-2183 ePOの5.1.3 以前のバージョンにも適用可能です
上記の他にリストされた、すべての CVSS ePO の 5.1.3, 5.3.0, 5.3.1および 5.3.2 へ適用できます
 
影響を受けるコンポーネント:
  • エージェント - サーバ間のコミュニケーション (ASC)

修正

この問題は FIPS モードも同様に ePO 5.x Hotfix 1159423 で修正されます。また ePO 次期リリースパッチでもこの修正が含まれる予定です。
  • ePO 5.1.x をお使いの場合には、ePO 5.1.3, 5.3.1, 5.3.2 へのアップグレード後に EPO5xHF1159423 (Hotfix) を適用ください。
  • ePO 5.3.0 をお使いの場合には、ePO 5.3.1, 5.3.2 へアップグレード後に EPO5xHF1159423 (Hotfix) を適用ください。
Hotfix 適用の詳細につきましては下記リリースノート(英語)を参照ください。:
PD26720 - ePolicy Orchestrator 5.x Hotfix 1159423 Release Notes
 
製品名 タイプ ファイル名 リリース日 (US時間)
ePO 5.1.3 Hotfix EPO5xHF1159423.zip 2016年10月10日
ePO 5.3.1 Hotfix EPO5xHF1159423.zip 2016年10月10日
ePO 5.3.2 Hotfix EPO5xHF1159423.zip 2016年10月10日

製品の入手方法:
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ へアクセスします。
  3. 有効な承認番号およびSKUを入力します。
  4. 該当の製品もしくはスイートをクリックします。
  5. [同意する]をクリックします。
  6. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
マカフィー製品の詳細なダウンロードに関しては KB56057 、インストール/アップグレード方法につきましては、ダウンロードサイトへ掲載している製品インストールガイドやリリースノートにてそれぞれご確認下さい。

回避策

回避策はありません。
この脆弱性から保護するための Hotfix を使用して、製品をアップデートしてください。

MITIGATIONS

なし

確認

なし

よくある質問(FAQ)

使用している製品バージョンが、この脆弱性の影響を受けるかを確認することができますか?

KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。

CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。

詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

使用されるCVSSスコアリングメトリクスは何ですか?

CVSS v3 Scoring:  
脆弱性CVSS スコアは以下を参照してください:
  • CVE-2016-6304: OCSP Status Request extension unbounded memory
  • CVE-2016-2183: SWEET32 Mitigation
  • CVE-2016-2182: OOB write in BN_bn2dec()
  • CVE-2016-7052: Missing CRL sanity check
     
CVE-2016-6304: OCSP Status Request extension unbounded memory
 
 Base Score 4.4
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) High (H)
 Privileges Required (PR) High (H)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) High (H)
 Temporal Score (Overall) 3.9
 Exploitability (E) Unproven that Exploit Exists (U)
 Remediation Level (RL) Official Fix (OF)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/cvss/v3-calculator?name=CVE-2016-6304&vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
 
CVE-2016-2183: SWEET32 Mitigation (Applicable only for ePO 5.1.3 and earlier)
 
 Base Score 5.3
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) High (H)
 Temporal Score (Overall) 4.6
 Exploitability (E) Unproven that Exploit Exists (U)
 Remediation Level (RL) Official Fix (OF)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
 
CVE-2016-2182: OOB write in BN_bn2dec()
 
 Base Score 4.4
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) High (H)
 Privileges Required (PR) High (H)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) High (H)
 Temporal Score (Overall) 3.9
 Exploitability (E) Unproven that Exploit Exists (U)
 Remediation Level (RL) Official Fix (OF)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/cvss/v3-calculator?vector=AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H/E:U/RL:O/RC:C
 
CVE-2016-7052: Missing CRL sanity check
 
 Base Score 4.4
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) High (H)
 Privileges Required (PR) High (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) High (H)
 Temporal Score (Overall) 4.0
 Exploitability (E) Unproven that Exploit Exists (U)
 Remediation Level (RL) Official Fix (OF)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/cvss/v3-calculator?vector=AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C

セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

リソース

テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. Intel Security disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Intel Security or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if Intel Security or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.