Loading...

マカフィーセキュリティ情報 - ePolicy Orchestrator のアップデートで対応される Java の脆弱性 (CVE-2018-2942, CVE-2018-2952)
セキュリティ情報 ID:   SB10247
最終更新:  2018/08/14
評価:


概要

公開日 (初回): 2018年08月14日
 
 脆弱性の重大度: Unauthorized Access (不正アクセス)
 CVE 番号: CVE-2018-2942
CVE-2018-2952
 セキュリティレーティング: CVE-2018-2942: High
CVE-2018-2952: Low
 CVSS v3 Base/Temporal スコア: CVE-2018-2942: 8.3 / 7.9
CVE-2018-2952: 3.7 / 3.6
 推奨される対策: EPO5xHF1248224 の適用、または ePolicy Orchestrator (ePO) 5.10 へのアップグレード
 セキュリティ情報の修正: なし
 影響を受けるソフトウェア: ePO 5.3.3, 5.3.2, 5.3.1, 5.3.0
ePO 5.9.1, 5.9.0
 最新ソフトウェアの入手先: https://www.mcafee.com/enterprise/ja-jp/downloads.html
 
この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。
 
コンポーネント: 脆弱性の詳細
このアップデートは以下の脆弱性を解決します。:
  1. CVE-2018-2942
    脆弱性を悪用すると、攻撃者が複数のプロトコルを使用してネットワークへアクセスのうえ、Java SE を危険にさらす可能性があります。 攻撃が成功するには攻撃者以外の人とやりとりする必要で、この脆弱性を使った攻撃は製品へ重大な影響を与える可能性があります。この脆弱性の攻撃を成功すると Java SE をテイクオーバされる可能性があります。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2942
     
  2. CVE-2018-2952
    脆弱性が悪用されると、攻撃者が複数のプロトコルを使用してネットワークアクセスのうえ、Java SE を危険にさらす可能性があります。 この脆弱性の攻撃が成功すると、Java SE の部分的なサービス拒否(部分的な DoS)が発生する可能性があります
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2952
影響を受けるコンポーネント:
  • ePO Java core web services
推奨手順
To remediate these issues:
  • ePO 5.3.2、またはそれ以前のバージョンをご使用されている場合には ePO 5.3.3、もしくは 5.9.1 へアップグレードのうえ、EPO5xHF1248224 を適用ください。または ePO 5.10 へアップグレードすることもできます。 
  • ePO 5.3.3 をご使用されている場合には EPO5xHF1248224の適用、または ePO 5.10 へアップグレードください。
  • ePO 5.9.0 をご使用されている場合には ePO 5.9.1 へアップグレードのうえ、EPO5xHF1248224 の適用、または ePO 5.10 へアップグレードください。
  • ePO 5.9.1 をご使用されている場合には EPO5xHF1248224 の適用、または ePO 5.10 へアップグレードください。
製品ダウンロードサイトより、該当する製品パッチファイルをダウンロードしてください。:
 
 製品バージョン   タイプ   ファイル名   リリース日 (US日時) 
 ePO 5.9.1  Hotfix   EPO5xHF1248224.zip*   2018年08月14日 
 ePO 5.3.3  Hotfix    EPO5xHF1248224.zip*   2018年08月14日 

※ また ePO 5.10 へアップグレードすることで、これらの問題を修正することもできます。

ダウンロード/インストール手順
  1. インターネットエクスプローラーを起動します。
  2. https://www.mcafee.com/enterprise/ja-jp/downloads.html へアクセスのうえ、"ダウンロード"をクリックします。
  3. 有効な承認番号、およびメールアドレスを入力して、送信をクリックします。
  4. 該当の製品、もしくはスイートをクリックします。
  5. [同意する]をクリックします。
  6. 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
  7. マカフィー製品の詳細なダウンロードに関しては KB56057 、インストール/アップグレード方法につきましては、ダウンロードサイトへ掲載している製品インストールガイドやリリースノートにてそれぞれご確認下さい。

製品特有の注意事項
ePO 5.1.x は 2017年12月31日 に全てのサポートが終了しました。5.9.x、または 5.10.x へのアップグレードを強く推奨します。

回避策
なし
マカフィーでは 推奨手順 テーブルへ記載されている ePO hotfix のインストールを強くするします。
謝辞
なし
よくある質問 (FAQs)
マカフィー製品が脆弱であるかどうかをどのように知ることができますか?
ePO / サーバ製品 :
サーバベースの製品につきましては、KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。


CVSS とは何ですか?
CVSS(Common Vulnerability Scoring System)は、脆弱性の重要性を評価するシステムを標準化する National Infrastructure Advisory Council の取り組みです。 このシステムは脆弱性がどの程度重要であるかを判断し、それに応じて計画するために使用できる 0 から 10 までの偏りのない重要度スコアを提供します。 詳細は CVSS の Web サイト http://www.first.org/cvss/ を参照してください。
 
CVSS スコアを計算する際、マカフィーでは一貫性と再現性を高める哲学を採用しました。 CVSS スコアリングのための我々の指針原則は、検討中のエクスプロイトを単独で採点することです。 考慮中の攻撃の直接的な影響のみを考慮します。 スコアリングされた問題をうまく利用することによって可能になるかもしれない潜在的なフォローオンの脆弱性をスコア化することはありません。
 
CVSS スコアリングメトリクスは何ですか?
  1. CVE-2018-2942: ePO and Java
     
    Base Score 8.3
    Attack Vector (AV) Network (N)
    Attack Complexity (AC) High (H)
    Privileges Required (PR) None (N)
    User Interaction (UI) Required (R)
    Scope (S) Changed (C)
    Confidentiality (C) High (H)
    Integrity (I) High (H)
    Availability (A) High (H)
    Temporal Score (Overall) 7.9
    Exploitability (E) Not Defined (X)
    Remediation Level (RL) Official Fix (O)
    Report Confidence (RC) Confirmed (C)
     
    NOTE: The below CVSS version 3.0 vector was used to generate this score.
    https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H/E:X/RL:O/RC:C
     
  2. CVE-2018-2952: ePO and Java 
     
    Base Score 3.7
    Attack Vector (AV) Network (N)
    Attack Complexity (AC) High (H)
    Privileges Required (PR) None (N)
    User Interaction (UI) None (N)
    Scope (S) Unchanged (U)
    Confidentiality (C) None (N)
    Integrity (I) None (N)
    Availability (A) Low (L)
    Temporal Score (Overall) 3.6
    Exploitability (E) Not Defined (X)
    Remediation Level (RL) Official Fix (O)
    Report Confidence (RC) Confirmed (C)
     
    NOTE: The below CVSS version 3.0 vector was used to generate this score.
    https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L/E:X/RL:O/RC:C
すべてのセキュリティ情報の一覧はどこで入手できますか?
すべてのセキュリティ情報は外部 PSIRT の Web サイト (http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx) のセキュリティ情報へ掲載されています。 セキュリティ情報は、製品が販売終了とサポート終了時(End of Life)のいずれかになると、廃止(削除)されます。

 
マカフィーへ製品に関する脆弱性を報告するにはどうすればよいですか?
マカフィー製品に関するセキュリティ上の問題や脆弱性に関する情報がある場合、McAfee PSIRT の Web サイト (http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx) >  セキュリティ脆弱性の報告 を参照してください。
 
この問題や他のセキュリティ事項を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。
マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。
 
マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、 Patch、Hotfix を合わせてのみ発表します。マカフィーは既知の脆弱性の影響を受ける製品や脆弱性がすでに知られ脆弱性に影響しない製品のリストを公開することがありますが、現在実施可能な回避策はありません。
 
McAfee PSIRTのWebサイト(http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx)の "PSIRT について" を参照ください。 

リソース
テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
  • 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
  • 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。

免責事項
The information provided in this Security Bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the preceding limitation may not apply.
 
Any future product release dates mentioned in this Security Bulletin are intended to outline our general product direction, and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or canceled at any time.

このドキュメントを評価する

Beta Translate with

Select a desired language below to translate this page.

言語:

この記事は、次の言語で表示可能です:

English United States
Japanese