概要 この記事では、McAfee アプリケーションと関連するサステイニング エンジニアリングのサポート ポジションについて説明します。
大要 この記事では、ePO と Java SE のセキュリティ修正を実施した Oracle 2018 年 10 月のアップデート アドバイザリ についての懸念事項について取り扱います。 このレポートでは、以下の CVE 項目に関する質問を取り扱います。 Oracle Java セキュリティ アドバイザリはこちらで公開されています:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html#AppendixJAVA National Vulnerability Database で追加の情報を確認するには、
https://web.nvd.nist.gov を参照してください。
説明 Oracle は 2018 年 10 月のセキュリティ アドバイザリをこちらで公開しています:
https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html アドバイザリには次の Java SE についての CVE が含まれています:
- CVE-2018-3183
- CVE-2018-3209
- CVE-2018-3169
- CVE-2018-3149
- CVE-2018-3211
- CVE-2018-3180
- CVE-2018-3214
- CVE-2018-3157
- CVE-2018-3150
- CVE-2018-13785
- CVE-2018-3136
- CVE-2018-3139
この脆弱性は、Java SE のさまざまなコンポーネント、特に ePO も使用している JNDI と JSSE の脆弱性につながる、Java のスクリプト エンジンの周りに関係します。
調査と結論 ePO エンジニアリング チームは、CVE を調査し、ePO は Oracle 2018 年 10 月 Java SE アドバイザリで扱われている脆弱性に対して、脆弱
ではないと結論づけました。 これは、ePO が Java SE に埋め込まれているスクリプト エンジンを使用していないためです。