McAfee 保守ステートメント 日付:
2019 年 1 月 29 日 McAfee 保守ステートメント
SSC1901291 この記事では、McAfee ブランドのアプリケーションのサポートに対する McAfee 保守の立場について記載します。
ePO Java の脆弱性に対する McAfee の応答 概要 この記事は、ePolicy Orchestrator とその Java の使用法に関する懸念に対処します。 このレポートには、下記の CVE 項目に関する質問が反映されます。 この記事は、2019 年 1 月に発表された Java SE セキュリティー アドバイザリに関するものです:
https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html#AppendixJAVA 国家の脆弱性データベースで追加情報を確認してください。
https://web.nvd.nist.gov 説明:
- CVE-2018-11212:
'libjpeg 9a' で問題が発見されました。 'jmemmgr.c' の 'alloc_sarray' 機能により、リモートの攻撃者は細工されたファイルを介してサービス拒否(ゼロ除算エラー)を引き起こすことができます。
- CVE-2019-2426:
悪用されにくい脆弱性により、複数のプロトコルを介したネットワークアクセスを認証されていない攻撃者が Java SE を危険にさらすことができます。 この脆弱性への攻撃が成功すると、Java SE がアクセス可能なデータのサブセットへの不正な読み取りアクセスが行われる可能性があります。
- CVE-2019-2449:
悪用されにくい脆弱性により、複数のプロトコルを介したネットワークアクセスを認証されていない攻撃者が Java SE を危険にさらすことができます。 攻撃を成功させるには、攻撃者以外の人による人間の操作が必要です。 この脆弱性への攻撃が成功すると、Java SE の部分的なサービス拒否(部分的な DOS)を発生させる不正な機能が作動する可能性があります。
- CVE-2019-2422:
悪用されにくい脆弱性により、複数のプロトコルを介したネットワークアクセスを認証されていない攻撃者が Java SE を危険にさらすことができます。 攻撃を成功させるには、攻撃者以外の人による人間の操作が必要です。 この脆弱性への攻撃が成功すると、Java SE でアクセス可能なデータのサブセットへの不正な読み取りアクセスが行われる可能性があります。
調査と結論 McAfee はこれらの Java SE の問題を確認し、これらの
脆弱性は ePO には該当しないと結論付けました。 これらの脆弱性はすべて Java クライアント側の配備に適用され、サーバー側の使用には影響しません。 これらの脆弱性は通常、信頼できないコードを読み込んで実行する、通常サンドボックス化された Java Web Start アプリケーションまたはサンドボックス化された Java アプレットを実行しているクライアントにおける Java の配備に適用されます。 たとえば、インターネットから送られセキュリティのため Java サンドボックスに依存しているコードです。 これらの脆弱性は、通常、信頼できるコード(たとえば、管理者によってインストールされたコード)のみをロードして実行するサーバーでの Java の配置には適用されません。