McAfee Sustaining Statement
日付:2020 年 6 月 15 日
McAfee Sustaining Statement:
SSC2006151
この記事では、McAfee 製品に関連する脆弱性の対応について記載されています。
Tomcat の脆弱性
CVE-2020-9484 に対しての McAfee の対応状況を、以下に記載します。
概要
このドキュメントでは、CVE-2020-9484 に記載されている ePolicy Orchestrator(ePO) と Tomcat の脆弱性に関する懸念事項について説明します。 この脆弱性は、以下で公開されている Tomcat Security Advisory で参照されています。
説明
CVE-2020-9484 (High: セッション永続性によるリモート コード実行)
攻撃を成功させるには、以下の条件をすべて満たしている必要があります。
- 攻撃者はサーバー上のファイルの内容と名前を制御できます。
- サーバーは、FileStore で Persistence Manager を使用するように設定されています。
- Persistence Manager は、次のいずれかでない限り、デフォルトである sessionAttributeValueClassNameFilter="null" で構成されます。
- Security Manager が使用されている
または
- 十分に緩いフィルターを使用して、攻撃者がオブジェクトのシリアル化を解除できるようにします。
- 攻撃者は、FileStore が使用する格納場所から、攻撃者が制御するファイルへの相対ファイル パスを知っています。
次に、以下の処理が実行されます。
- 不正なリクエストを使用すると、管理対象ファイルのデシリアライズによってリモートからコードが実行される可能性があります。
調査と結論
ePO エンジニアリング チームはこの CVE を確認し、以下を決定しました。
- ePO はデフォルトで、Persistence Manager Tomcat 機能を使用または設定しません。 この ePO は影響を受けません。
- ただし、ePO は脆弱な Tomcat バイナリを消費するため、この脆弱性は Low (3.6) CVSS と評価しています。 今後の ePO 5.10 Cumulative Update リリースで、Tomcat の実装を更新することを検討しています。