Loading...

マカフィーセキュリティ情報 - ePolicy Orchestrator での Tomcat 脆弱性の回避方法について (CVE-2017-5647)
セキュリティ情報 ID:   SB10199
最終更新:  2019/06/06

概要

公開日 (初回) : 2017年05月18日
 
 脆弱性の種類:  情報の漏えい (CWE-717, OWASP 2004:A6)
 CVE 番号:  CVE-2017-5647
 セキュリティレーティング:  高
 CVSS v3 Base / Temporal スコア:  7.5/7.0
 推奨される手順:  最新パッチの適用
 セキュリティ情報の更新:  なし
 影響を受けるソフトウェア:  ePolicy Orchestrator (ePO) 5.1.3 以前のバージョン 
 ePO 5.3.2 以前のバージョン
 ePO 5.9.0
 ソフトウェアの更新場所: Http://www.mcafee.com/japan/licenced2/ 
http://www.mcafee.com/us/downloads/downloads.aspx

この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。

コンテンツ:

説明

Tomcat 上で動作する ePO ユーザログインサービスで使用されている Tomcat バージョンには、CVE-2017-5647 で報告された情報が漏えいする可能性のある脆弱性があります。このセキュリティ情報の回避策セクションでは、問題の脆弱性を短期的に回避するための方法を提供します。

 CVE-2017-5647
送信されたファイルのパイプライン処理されたリクエストをハンドリングする際にバグがありました。
 Apache Tomcat の送信ファイルで使用されるパイプラインリクエストをハンドリングする際のバグは、それ以前のリクエストの送信ファイル処理を完了させる際のパイプラインリクエストをロストさせる原因となります。これにより、誤ったリクエストに対する応答が送信されるようになる可能性があります。

https://nvd.nist.gov/vuln/detail/CVE-2017-5647

影響を受けるコンポーネント:
  • ePO web core services

修正

CVE-2017-5647 の問題に対応するため、ePO を次のスケジュールリリースのいずれかへアップグレードします。:
  • ePO 5.1.x をご利用中の場合には、ePO 5.3.3, または ePO 5.9.1 へアップグレードください。
  • ePO 5.3.x をご利用中の場合には、ePO 5.3.3, または ePO 5.9.1 へアップグレードください。
  • ePO 5.9.0 をご利用中の場合には、ePO 5.9.1 へアップグレードください。
製品ダウンロードサイトより、該当製品のパッチ/修正プログラムファイルをダウンロードします。:
 
製品 タイプ リリース予定日
ePO 5.3.3       Patch  2017 年 第2四半期
ePO 5.9.1 Patch 2017 年 第4四半期

製品のダウンロード方法:
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/japan/licensed2/ へアクセスします。
  3. 有効な承認番号および画面に表示される文字列を入力して、[送信] をクリックします。
  4. 該当の製品もしくはスイートをクリックします。
  5. [同意する]をクリックします。
  6. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
インテルセキュリティ製品の詳細なダウンロードに関しては KB56057 、インストール/アップグレード方法につきましては、ダウンロードサイトへ掲載している製品インストールガイドやリリースノートにて、それぞれご確認下さい。

回避策

Tomcat CVE-2017-5647 の問題を軽減させるために、以下の対策を実施します。:
  1. サービスコントロールマネージャ上で、ePO サービスを停止します。:
     
    • McAfee ePolicy Orchestrator Event Parser
    • McAfee ePolicy Orchestrator Server
    • McAfee ePolicy Orchestrator Application Server
       
  2. ePO インストールフォルダ: [ePO_Install_Dir]\Server\conf を開きます。
     
  3. ePO インストールフォルダ: [ePO_Install_Dir] \Server\conf\server.xml をバックアップコピーします。(例: server.xml.bak)
     
  4. ノートパッド等のエディタを使って、 server.xml を開きます。:
    1. 以下の行を検索します。:

      org.apache.coyote.http11.Http11NioProtocol
       
    2. "Nio"と表示されるたびに、これを以下のようにリネームします。:

      org.apache.coyote.http11.Http11Protocol
       
    3. ファイルを保存して、エディタを終了します。
       
  5. サービスコントロールマネージャ上で、ePO サービスを開始します。:
     
    • McAfee ePolicy Orchestrator Event Parser
    • McAfee ePolicy Orchestrator Server
    • McAfee ePolicy Orchestrator Application Server
削除手順:
  1. サービスコントロールマネージャ上で、ePO サービスを停止します。:
     
    • McAfee ePolicy Orchestrator Event Parser
    • McAfee ePolicy Orchestrator Server
    • McAfee ePolicy Orchestrator Application Server
       
  2. [ePO_インストールフォルダ]\Server\conf\server.xml を削除します。
     
  3. バックアップコピーした server.xml ファイルをリネームし直して復元させます。(例: server.xml.bak > server.xml)
     
  4. サービスコントロールマネージャ上で、ePO サービスを開始します。:
     
    • McAfee ePolicy Orchestrator Application Server
    • McAfee ePolicy Orchestrator Server
    • McAfee ePolicy Orchestrator Event Parser

確認

この脆弱性は Tomcat Security Team によって、最初に公開されました。

よくある質問(FAQ)

どのようにしてインテルセキュリティ製品が脆弱であるかを確認できますか??
ePO / サーバ製品 :
サーバベースの製品につきましては、KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。 


CVSSとは何ですか?
 CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。

詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/


 
使用されるCVSSスコアリングメトリクスは何ですか?

CVE-2017-5647: McAfee ePO and Apache Tomcat
 
 Base Score 7.5
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) Low (L)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
 Confidentiality (C) High (H)
 Integrity (I) None (N)
 Availability (A) None (N)
 Temporal Score (Overall) 7.0
 Exploitability (E) Functional (F)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:F/RL:O/RC:C


セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

リソース

テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese