Loading...

マカフィーセキュリティ情報 - ePolicy Orchestrator の更新で対応される Apache に関する複数の脆弱性 (CVE-2017-3169, CVE-2017-7668, CVE-2017-7679)
セキュリティ情報 ID:   SB10206
最終更新:  2019/06/06
評価:


概要

公開日 (初回): 2017年07月27日
 
 脆弱性の種類:  情報漏洩, Denial of Service (DoS) 攻撃
 CVE 番号:  CVE-2017-3169
 CVE-2017-7668
 CVE-2017-7679
 セキュリティレーティング:  中 / 低
 CVSS v3 Base / Temporal スコア:  CVE-2017-3169: 3.7 / 3.2
 CVE-2017-7668: 6.5 / 5.7
 CVE-2017-7679: 3.7 / 3.2
 推奨される手順:  この脆弱性を緩和するための ePolicy Orchestrator (ePO) Hotfix 1202868 を適用してください。
 セキュリティ情報の更新:  なし
 影響を受けるソフトウェア:  ePO 5.1.3 以前のバージョン
 ePO 5.3.2 以前のバージョン
 ePO 5.9.0 以前のバージョン
 ソフトウェアの入手場所:  http://www.mcafee.com/us/downloads/downloads.aspx

この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。

コンテンツ:

説明

ePO は 2017年06月のセキュリティアドバイザリーで報告された、CVE-2017-3169, CVE-2017-7668, CVE-2017-7679 に対して脆弱な Apache 2.4.25 を使用しています。: https://httpd.apache.org/security/vulnerabilities_24.html.

影響を受けるコンポーネント:
  • Agent Handler

修正

 これらの問題を修正するには:
  • ePO 5.1.3: Hotfix EPO513HF1202868.zip を適用
  • ePO 5.3.2: Hotfix EPO532HF1202868.zip を適用
  • ePO 5.3.1: Hotfix EPO531HF1202868.zip を適用
  • ePO 5.9.0: Hotfix EPO590HF1202868.zip を適用
  • ePO 5.1.0, 5.1.1, 5.1.2: ePO 5.1.3, 5.3.1, 5.3.2 のいずれかへアップグレードのうえ、 対応する Hotfix を適用
  • ePO 5.3.0: ePO 5.3.1, 5.3.2 のいずれかへアップグレードのうえ、 対応する Hotfix を適用
製品ダウンロードサイトへアクセスのうえ、対応する製品の Hotfix ファイルをダウンロードしてください。:
 
製品バージョン タイプ ファイル名 リリース日
ePO 5.1.3 Hotfix EPO513HF1202868.zip 2017年07月27日
ePO 5.3.1 Hotfix EPO531HF1202868.zip 2017年07月27日
ePO 5.3.2 Hotfix EPO532HF1202868.zip 2017年07月27日
ePO 5.9.0 Hotfix EPO590HF1202868.zip 2017年07月27日


製品のダウンロード方法:
ご注意: 本 Hotfix ファイルにつきましては、弊社 US サイトより入手することが可能となっています。
 
  1. インターネットエクスプローラーを起動します。
  2. http://www.mcafee.com/us/downloads/downloads.aspx へアクセスします。
  3. "Product Downloads" をクリックし、 有効な承認番号(Grant Number:)、および画面に表示される文字列を下段のフィールドへ入力して、"Submit" をクリックします。
  4. 該当の製品もしくはスイートをクリックします。
  5. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
インテルセキュリティ製品の詳細なダウンロードに関しては KB56057 、インストール/アップグレード方法につきましては、ダウンロードサイトへ掲載している製品インストールガイドやリリースノートにて、それぞれご確認下さい。

回避策

回避策はありません。
提供されている対応 Hotfix の適用を強く推奨します。

MITIGATIONS

 なし
提供されている対応 Hotfix の適用を強く推奨します。

確認

なし

よくある質問(FAQ)

How do I know whether my McAfee product is vulnerable or not?
どのようにしてインテルセキュリティ製品が脆弱であるかを確認できますか?
ePO / サーバ製品 :
サーバベースの製品につきましては、KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。 


CVSSとは何ですか?
 CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。

詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/


 
使用されるCVSSスコアリングメトリクスは何ですか?
 
CVE-2017-3169
 
 Base Score 3.7
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) High (H)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
 Confidentiality (C) None (N)
 Integrity (I) None (N)
 Availability (A) Low (L)
 Temporal Score (Overall) 3.2
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C

CVE-2017-7668

 
 Base Score 6.5
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) High (H)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
 Confidentiality (C) None (N)
 Integrity (I) Low (L)
 Availability (A) High (H)
 Temporal Score (Overall) 5.7
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:H/E:U/RL:O/RC:C

CVE-2017-7679
 
 Base Score 3.7
 Attack Vector (AV) Network (N)
 Attack Complexity (AC) High (H)
 Privileges Required (PR) None (N)
 User Interaction (UI) None (N)
 Scope (S) Unchanged (U)
 Confidentiality (C) None (N)
 Integrity (I) None (N)
 Availability (A) Low (L)
 Temporal Score (Overall) 3.2
 Exploitability (E) Unproven (U)
 Remediation Level (RL) Official Fix (O)
 Report Confidence (RC) Confirmed (C)

NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C

セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx

リソース

テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
 
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.

このドキュメントを評価する

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese