Loading...

Knowledge Center


インテルセキュリティ情報 - Endpoint Security Web Control 10.2 のアップデートで対応されるクロスサイトスクリプティングの脆弱性 (CVE-2016-8011)
Security Bulletins ID:   SB10180
Last Modified:  2016/12/05
Rated:


Summary

初回公開日: 2016年12月05日
 
 脆弱性の種類:  クロスサイトスクリプティング / Cross-Site Scripting (XSS) (CWE-79)
 CVE 番号:  CVE-2016-8011
 セキュリティレーティング:  中
 Base / Overall CVSS v3 スコア:  4.3 / 3.9
 推奨される対応策:
  • Endpoint Security (ENS) Web Control 10.2.0 Hotfix 1164442 の適用
  • ENS 10.1 から 10.2 へのアップグレード後に ENS Web Control 10.2.0 Hotfix 1164442 の適用
 セキュリティ情報の修正:  なし
 影響を受けるソフトウェア:  インテルセキュリティ製品の脆弱性性ステータスセクションを参照ください。
 最新ソフトウェアの入手:  http://www.mcafee.com/us/downloads/downloads.aspx
 http://www.mcafee.com/japan/licensed2/

この記事が更新されたときに電子メール通知を受信するには、ページ右側の 購読 をクリックします。購読するには、ログインする必要があります。

Description

ENS Web Control 10.2 でのクロスサイトスクリプティングは、攻撃者が細工されたWebサイトを介して、任意の "Webスクリプト" や "HTML" のインジェクトを可能にします。
 
CWE-79
クロスサイトスクリプティング (JVN iPedia 脆弱性対策情報データベースより)
http://jvndb.jvn.jp/ja/cwe/CWE-79.html
 
影響を受けるコンポーネント:
  • ENS ウェブ管理 / Web Control
インテルセキュリティ製品の脆弱性ステータス

すべての インテルセキュリティ/マカフィー製品の調査が進行中です。
追加情報が確認でき次第、このセキュリティ情報が更新されます。脆弱性と更新” 製品のすべてのバージョンが脆弱であるとは限りません。 詳細については以下の Product Specific Notes セクションを参照してください。
 
脆弱性があり、更新された製品
  1. Endpoint Security 10.2
脆弱性があるが、まだ更新されていない製品
  1. SiteAdvisor Enterprise 3.5
各製品の詳細につきましては、こちらを参照下さい。: http://www.mcafee.com/us/apps/products-az.aspx.

Remediation

製品ダウンロードサイトより、製品 Hotfix ファイルをダウンロードできます。:
 
製品 タイプ バージョン ファイル名 リリース日
Endpoint Security 10.2 Hotfix 10.2.0.408.10 Web_Control_10.2.0.408.1_HF_1164442.zip 2016年12月05日

詳細につきましては、以下のリリースノートを参照下さい。:
PD26758 - Endpoint Security Web Control 10.2.0 Hotfix 1164442 Release Notes

インテルセキュリティ製品の入手方法:
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ へアクセスします。
  3. 有効な承認番号、および画面に表示されているコードを入力します。
  4. 該当の製品、もしくはスイートをクリックします。
  5. [同意する]をクリックします。
  6. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
マカフィー製品の詳細なダウンロードに関しては KB56057 、インストール/アップグレード方法につきましては、ダウンロードサイトへ掲載している製品インストールガイドやリリースノートにてそれぞれご確認下さい。

Product Specific Notes

この脆弱性により、悪意のある Web サイトはコンテンツのブロック、または警告ページでクロスサイトスクリプティング (XSS) ペイロードのレンダリングが可能となります。XSS ペイロードは JavaScript でコンテンツのブロックと警告ページを変更する可能性があり、変更されるコンテンツはブロック、または警告ページに表示されたアドバイザーメッセージのリダイレクション、または改竄です。

 

Workaround

なし、提供されている Hotfix をインストールしてください。

Mitigations

なし、提供されている Hotfix をインストールしてください。

Acknowledgements

 この脆弱性は NCIA(NATO)  Roberto Suggi Liverani 氏からレポートされました。

Frequently Asked Questions (FAQs)

どのようにインテルセキュリティ製品が脆弱であるかを知ることができますか?


ePO / サーバ製品 :
サーバベースの製品につきましては、KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。

CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。
 
詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

CVSS v2 のスコアを計算時、Intel Security は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。
 
CVSS v3 スコアは3月25日の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0

使用される CVSS スコアリングメトリクスは何ですか?

CVE-2016-8011: Cross-site Scripting Vulnerability
 
 Base Score 4.3
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) Required (R)
 Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) Low (L)
Availability (A) None (N)
 Temporal Score (Overall) 3.9
 Exploitability (E) Proof-of-Concept (P)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.

https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:O/RC:C

セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

Resources

テクニカルサポートの連絡先詳細
http://www.mcafee.com/us/about/contact-us.aspx#ht=tab-techsupport にアクセスして、ドロップダウンリストからお住まいの国を選択してください。

次の方法でも可能です。
ServicePortal https://support.mcafee.com にログインしてください。
  • 登録済みのユーザの場合は、ユーザ IDパスワードを入力し、ログイン をクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに必要事項を入力します。パスワードとログイン手順が電子メールで届きます。

Disclaimer

The information provided in this security bulletin is provided as is without warranty of any kind. Intel Security disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Intel Security or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if Intel Security or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

Rate this document

Did this article resolve your issue?

Please provide any comments below

Languages:

This article is available in the following languages:

English United States
Japanese

Beta Translate with

Select a desired language below to translate this page.