Loading...

マカフィーセキュリティ情報 - ePolicy orchestrator (ePO) で対応された Java の脆弱性 (CVE-2018-2783, CVE-2018-2794, CVE-2018-2795, CVE-2018-2796, CVE-2018-2797, CVE-2018-2799, CVE-2018-2815)
セキュリティ情報 ID:   SB10234
最終更新:  2018/05/07
評価:


概要

公開日(初回): 2018年05月07日
 
 脆弱性の影響: Unauthorized Access
Denial of Service (CWE-730, OWASP 2004:A9)
 CVE ID: CVE-2018-2783
CVE-2018-2794
CVE-2018-2795
CVE-2018-2796
CVE-2018-2797
CVE-2018-2799
CVE-2018-2815
 セキュリティレーティング: 高, 中
 CVSS v3 Base/Temporal スコア: CVE-2018-2783: 7.4/6.4
CVE-2018-2794: 7.7/6.7
CVE-2018-2795: 5.3/4.6
CVE-2018-2796: 5.3/4.6
CVE-2018-2797: 5.3/4.6
CVE-2018-2799: 5.3/4.6
CVE-2018-2815: 5.3/4.6
 推奨手順: ePO hotfix EPO5xHF1238521 の適用
 セキュリティの修正: なし
 影響を受けるソフトウェア: ePO 5.3.3, 5.3.2, 5.3.1, 5.3.0
ePO 5.9.1, 5.9.0
 アップデートソフトウェアの入手先: https://www.mcafee.com/jp/downloads/downloads.aspx
  
この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。
 
コンポーネント: 脆弱性の詳細
ePO は 上記の Java CVE に対して脆弱です。

この ePO のアップデートにより、以下の問題が解決されます。:
 
CVE-2018-2783
認証されていない攻撃者が複数のプロトコルを使ってネットワークへアクセスして、Java SE を危険にさらす可能性があります。 この脆弱性の攻撃が成功すると、クリティカルデータや Java SE のすべてのアクセス可能なデータへの不正な作成、削除、変更アクセス、クリティカルデータへの不正アクセス、Java SE のすべてのアクセス可能なデータへの完全なアクセスが可能になります。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2783  

CVE-2018-2794
認証されていない攻撃者は Java SE を危険にさらすために実行するインフラストラクチャにログオンすることができます。 攻撃を成功させるには、攻撃者以外の人とのやりとりが必要であり、Java SE 攻撃の脆弱性が追加製品へ大きな影響を与える可能性があります。 この脆弱性の攻撃を成功させると、Java SEがテイクオーバされる可能性があります。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2794 

CVE-2018-2795
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークアクセスのうえ、Java SE を危険にさらす可能性があります。 この脆弱性の攻撃が成功すると、Java SE の部分的なサービス拒否(部分的な DoS)が発生する可能性があります。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2795 

CVE-2018-2796
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークアクセスのうえ、Java SE を危険にさらす可能性があります。 この脆弱性の攻撃が成功すると、Java SE の部分的なサービス拒否(部分的な DoS)が発生する可能性があります。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2796   

CVE-2018-2797
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークアクセスのうえ、Java SE を危険にさらす可能性があります。 この脆弱性の攻撃が成功すると、Java SE の部分的なサービス拒否(部分的な DoS)が発生する可能性があります。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2797  

CVE-2018-2799
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークアクセスのうえ、Java SE を危険にさらす可能性があります。 この脆弱性の攻撃が成功すると、Java SE の部分的なサービス拒否(部分的な DoS)が発生する可能性があります。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2799  

CVE-2018-2815
簡単に悪用可能な脆弱性により、認証されていない攻撃者が複数のプロトコルを使用してネットワークアクセスのうえ、Java SE を危険にさらす可能性があります。 この脆弱性の攻撃が成功すると、Java SE の部分的なサービス拒否(部分的な DoS)が発生する可能性があります。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2815
 
影響を受けるコンポーネント:
  • ePO Java core web services
推奨手順
この問題を修正するために下記を実施ください。:
  • ePO 5.3.2、またはそれ以前のバージョンをご使用されている場合には ePO 5.3.3、または5.9.1 へアップグレードのうえ、EPO5xHF1238521 を適用ください。
  • ePO 5.3.3 をご使用されている場合には EPO5xHF1238521を適用ください。
  • ePO 5.9.0 をご使用されている場合には ePO 5.9.1 へアップグレードのうえ、EPO5xHF1238521 を適用ください。
  • ePO 5.9.1 をご使用されている場合には EPO5xHF1238521を適用ください。
  製品ダウンロードサイトより、該当する製品パッチファイルをダウンロードしてください:
 
製品バージョン タイプ ファイル名 リリース日(US時間)
ePO 5.9.1            Hotfix EPO5xHF1238521.zip 2018年05月07日
ePO 5.3.3 Hotfix EPO5xHF1238521.zip  2018年05月07日
  
ダウンロード、インストール手順
  1. インターネットエクスプローラーを起動します。
  2. https://www.mcafee.com/jp/downloads/downloads.aspx へアクセスのうえ、"ダウンロード"をクリックします。
  3. 有効な承認番号、および画面に表示されているコードを入力します。
  4. 該当の製品、もしくはスイートをクリックします。
  5. [同意する]をクリックします。
  6. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
  7. マカフィー製品の詳細なダウンロードに関しては KB56057 、インストール/アップグレード方法につきましては、ダウンロードサイトへ掲載している製品インストールガイドやリリースノートにてそれぞれご確認下さい。
 
製品特有の注意事項
ePO 5.1.x は 2017年12月31日 に全てのサポートが終了しました。5.3.x、または 5.9.x へアップグレードすることを強く推奨します。

回避策
回避策はありません。
“推奨手順” のセクションへ記載されている、最新の ePO Hotfix インストールを強く推奨します。
 
謝辞
なし
 
よくある質問 (FAQs)
マカフィー製品が脆弱であるかをどのように知ることができますか?
ePO / サーバ製品 :
サーバベースの製品につきましては、KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。

CVSS とは何ですか?
CVSS(Common Vulnerability Scoring System)は、脆弱性の重要性を評価するシステムを標準化する National Infrastructure Advisory Council の取り組みです。 このシステムは脆弱性がどの程度重要であるかを判断し、それに応じて計画するために使用できる 0 から 10 までの偏りのない重要度スコアを提供します。 詳細は、CVSSのWebサイトhttp://www.first.org/cvss/ を参照してください。
 
CVSSの スコアを計算する際、マカフィーは一貫性と再現性を高める哲学を採用しました。 CVSSスコアリングのための我々の指針原則は、検討中のエクスプロイトを単独で採点することです。 考慮中の攻撃の直接的な影響のみを考慮します。 スコアリングされた問題をうまく利用することによって可能になるかもしれない潜在的なフォローオンの脆弱性をスコア化することはありません。


 
CVSSスコアリングメトリクスは何ですか??
 
CVE-2018-2783: McAfee ePO and Java
 
Base Score 7.4
Attack Vector (AV) Network (N)
Attack Complexity (AC) High (H)
Privileges Required (PR) None (N)
User Interaction (UI) None (N)
Scope (S) Unchanged (U)
Confidentiality (C) High (H)
Integrity (I) High (H)
Availability (A) None (N)
Temporal Score (Overall) 6.4
Exploitability (E) Unproven that Exploit Exists (U)
Remediation Level (RL) Official Fix (O)
Report Confidence (RC) Confirmed (C)
 
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C   
 
CVE-2018-2794: McAfee ePO and Java
 
Base Score 7.7
Attack Vector (AV) Local (L)
Attack Complexity (AC) High (H)
Privileges Required (PR) None (N)
User Interaction (UI) Required (R)
Scope (S) Changed (C)
Confidentiality (C) High (H)
Integrity (I) High (H)
Availability (A) High (H)
Temporal Score (Overall) 6.7
Exploitability (E) Unproven that Exploit Exists (U)
Remediation Level (RL) Official Fix (O)
Report Confidence (RC) Confirmed (C)
 
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C  
 
CVE-2018-2795: McAfee ePO and Java
 
Base Score 5.3
Attack Vector (AV) Network (N)
Attack Complexity (AC) Low (L)
Privileges Required (PR) None (N)
User Interaction (UI) None (N)
Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) Low (L)
Temporal Score (Overall) 4.6
Exploitability (E) Unproven (U)
Remediation Level (RL) Official Fix (O)
Report Confidence (RC) Confirmed (C)
 
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C   
 
CVE-2018-2796: McAfee ePO and Java
 
Base Score 5.3
Attack Vector (AV) Network (N)
Attack Complexity (AC) Low (L)
Privileges Required (PR) None (N)
User Interaction (UI) None (N)
Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) Low (L)
Temporal Score (Overall) 4.6
Exploitability (E) Unproven that Exploit Exists (U)
Remediation Level (RL) Official Fix (O)
Report Confidence (RC) Confirmed (C)
 
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C   
 
CVE-2018-2797: McAfee ePO and Java
 
Base Score 5.3
Attack Vector (AV) Network (N)
Attack Complexity (AC) Low (L)
Privileges Required (PR) None (N)
User Interaction (UI) None (N)
Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) Low (L)
Temporal Score (Overall) 4.6
Exploitability (E) Unproven that Exploit Exists (U)
Remediation Level (RL) Official Fix (O)
Report Confidence (RC) Confirmed (C)
 
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C  
 
CVE-2018-2799: McAfee ePO and Java
 
Base Score 5.3
Attack Vector (AV) Network (N)
Attack Complexity (AC) Low (L)
Privileges Required (PR) None (N)
User Interaction (UI) None (N)
Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) Low (L)
Temporal Score (Overall) 4.6
Exploitability (E) Unproven that Exploit Exists (U)
Remediation Level (RL) Official Fix (O)
Report Confidence (RC) Confirmed (C)
 
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C
 
CVE-2018-2815: McAfee ePO and Java
 
Base Score 5.3
Attack Vector (AV) Network (N)
Attack Complexity (AC) Low (L)
Privileges Required (PR) None (N)
User Interaction (UI) None (N)
Scope (S) Unchanged (U)
Confidentiality (C) None (N)
Integrity (I) None (N)
Availability (A) Low (L)
Temporal Score (Overall) 4.6
Exploitability (E) Unproven that Exploit Exists (U)
Remediation Level (RL) Official Fix (O)
Report Confidence (RC) Confirmed (C)
 
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C

すべてのセキュリティ情報の一覧はどこで入手できますか?または製品の脆弱性を報告するにはどうすればよいですか?
すべてのセキュリティ情報は、PSIRTの外部Webサイトに公開されています。 製品が EOL となり、サポートが終了するとセキュリティ情報は廃止されます。
 
マカフィー製品に関するセキュリティ上の問題や脆弱性に関する情報がある場合は、McAfee PSIRT の Webサイトをご覧ください。


 
リソース
テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。
免責事項
The information provided in this Security Bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the preceding limitation may not apply.
 
Any future product release dates mentioned in this bulletin are intended to outline our general product direction, and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or canceled at any time.

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese