マカフィーセキュリティ情報 - ePolicy Orchestrator のアップデートで修正される Tomcat の脆弱性 (CVE-2018-11784)
セキュリティ情報 ID:
SB10257
最終更新: 2023-02-21 16:20:03 Etc/GMT
最終更新: 2023-02-21 16:20:03 Etc/GMT
概要
公開日(初回): 2018年11月27日
この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。
コンテンツ: 脆弱性の詳細
Apache Tomcat 上で実行される ePO には以下のCVEに記載されているように、攻撃者がチョイスした URI への無効なリダイレクトに対して脆弱である可能性があります。
この ePO アップデートでは以下の問題を修正します。:
CVE-2018-11784
デフォルトのサーブレットがディレクトリへのリダイレクトを返したとき(例えば、ユーザが /foo をリクエストすると、/foo/ へリダイレクトする)、特別に細工された URL を使用して攻撃者の任意の URI へリダイレクトを生成させることができます。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11784
https://nvd.nist.gov/vuln/detail/CVE-2018-11784
影響を受けるコンポーネント:
この問題を修正するには:
*ご注意:
マカフィーは計画日までにアップデートをリリースできるよう、商業的に合理的な努力をしますが、状況により計画は変更される可能性もあります。
ダウンロード/インストール手順
製品特有の注意事項
ePO 5.1.x は 2017年12月31日 に全てのサポートが終了しました。5.9.x、または 5.10.x へのアップグレードを強く推奨します。
回避策
なし
マカフィーでは 推奨手順 テーブルへ記載されている ePO hotfix のインストールを強く推奨します。
謝辞
なし
よくある質問 (FAQs)
マカフィー製品が脆弱であるかどうかをどのように知ることができますか?
ePO / サーバ製品 :
サーバベースの製品につきましては、KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。
CVSS とは何ですか?
CVSS(Common Vulnerability Scoring System)は、脆弱性の重要性を評価するシステムを標準化する National Infrastructure Advisory Council の取り組みです。 このシステムは脆弱性がどの程度重要であるかを判断し、それに応じて計画するために使用できる 0 から 10 までの偏りのない重要度スコアを提供します。 詳細は CVSS の Web サイト http://www.first.org/cvss/ を参照してください。
CVSS スコアを計算する際、マカフィーでは一貫性と再現性を高める哲学を採用しました。 CVSS スコアリングのための我々の指針原則は、検討中のエクスプロイトを単独で採点することです。 考慮中の攻撃の直接的な影響のみを考慮します。 スコアリングされた問題をうまく利用することによって可能になるかもしれない潜在的なフォローオンの脆弱性をスコア化することはありません。
CVSS スコアリングメトリクスは何ですか?
CVE-2018-11784: ePO and Apache Tomcat
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
すべてのセキュリティ情報の一覧はどこで入手できますか?
すべてのセキュリティ情報は外部 PSIRT の Web サイト (http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx) のセキュリティ情報へ掲載されています。 セキュリティ情報は、製品が販売終了とサポート終了時(End of Life)のいずれかになると、廃止(削除)されます。
マカフィーへ製品に関する脆弱性を報告するにはどうすればよいですか?
マカフィー製品に関するセキュリティ上の問題や脆弱性に関する情報がある場合、McAfee PSIRT の Web サイト (http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx) > セキュリティ脆弱性の報告 を参照してください。
この問題や他のセキュリティ事項を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。
マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。
マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、 Patch、Hotfix を合わせてのみ発表します。マカフィーは既知の脆弱性の影響を受ける製品や脆弱性がすでに知られ脆弱性に影響しない製品のリストを公開することがありますが、現在実施可能な回避策はありません。
McAfee PSIRTのWebサイト(http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx)の "PSIRT について" を参照ください。
リソース
テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。
免責事項
The information provided in this Security Bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the preceding limitation may not apply.
Any future product release dates mentioned in this Security Bulletin are intended to outline our general product direction, and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or canceled at any time.
脆弱性の重大度: | Invalidated Redirects and Forwards (未検証でのリダイレクト/転送) |
CVE ID: | CVE-2018-11784 |
セキュリティレーティング: | 中 |
CVSS v3 Base/Temporal スコア: | 5.3 / 4.6 |
推奨される対策: | スタンドアロン Hotfix の適用、またはアッデート |
セキュリティ情報の修正: | なし |
影響を受けるソフトウェア: |
|
最新ソフトウェアの入手先: | https://www.mcafee.com/enterprise/ja-jp/downloads.html |
この記事が更新されたときに電子メール通知を受け取るには、ページ右側の購読をクリックします。 購読するには、ログインする必要があります。
コンテンツ: 脆弱性の詳細
Apache Tomcat 上で実行される ePO には以下のCVEに記載されているように、攻撃者がチョイスした URI への無効なリダイレクトに対して脆弱である可能性があります。
この ePO アップデートでは以下の問題を修正します。:
CVE-2018-11784
デフォルトのサーブレットがディレクトリへのリダイレクトを返したとき(例えば、ユーザが /foo をリクエストすると、/foo/ へリダイレクトする)、特別に細工された URL を使用して攻撃者の任意の URI へリダイレクトを生成させることができます。
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11784
https://nvd.nist.gov/vuln/detail/CVE-2018-11784
影響を受けるコンポーネント:
- ePO web core services
この問題を修正するには:
- ePO 5.3.2 以前のバージョンをご使用されている場合には ePO 5.3.3, 5.9.1 、または 5.10 へアップグレードのうえ、修正バージョンを適用ください。修正バージョンにつきましては、下記の表を参照ください。
- ePO 5.3.0 をご使用されている場合には ePO 5.9.1 、または 5.10 へアップグレードのうえ、修正バージョンを適用ください。修正バージョンにつきましては、下記の表を参照ください。
- ePO 5.3.3 をご使用されている場合には EPO533HF1257674.zip を適用ください。
- ePO 5.9.1 をご使用されている場合には EPO591HF1260432.zip を適用ください。
- ePO 5.10 をご使用されている場合には ePO 5.10 Update 2 の適用を推奨します。
製品 | タイプ | ファイル名 | リリース日/予定日 |
ePO 5.10.0 | Update | TBD | 2018年第4四半期 |
ePO 5.9.1 | Hotfix | EPO591HF1260432.zip | 2018年11月27日 |
ePO 5.3.3 | Hotfix | EPO533HF1257674.zip | 2018年11月27日 |
*ご注意:
マカフィーは計画日までにアップデートをリリースできるよう、商業的に合理的な努力をしますが、状況により計画は変更される可能性もあります。
ダウンロード/インストール手順
- インターネットエクスプローラーを起動します。
- https://www.mcafee.com/enterprise/ja-jp/downloads.html へアクセスのうえ、"ダウンロード"をクリックします。
- 有効な承認番号、およびメールアドレスを入力して、送信をクリックします。
- 該当の製品、もしくはスイートをクリックします。
- [同意する]をクリックします。
- 適切な製品のリンクをクリックしてZIPファイルをダウンロードします。
製品特有の注意事項
ePO 5.1.x は 2017年12月31日 に全てのサポートが終了しました。5.9.x、または 5.10.x へのアップグレードを強く推奨します。
回避策
なし
マカフィーでは 推奨手順 テーブルへ記載されている ePO hotfix のインストールを強く推奨します。
謝辞
なし
よくある質問 (FAQs)
マカフィー製品が脆弱であるかどうかをどのように知ることができますか?
ePO / サーバ製品 :
サーバベースの製品につきましては、KB52634 を参考にインストールされている ePO ビルドバージョンをご確認ください。
CVSS とは何ですか?
CVSS(Common Vulnerability Scoring System)は、脆弱性の重要性を評価するシステムを標準化する National Infrastructure Advisory Council の取り組みです。 このシステムは脆弱性がどの程度重要であるかを判断し、それに応じて計画するために使用できる 0 から 10 までの偏りのない重要度スコアを提供します。 詳細は CVSS の Web サイト http://www.first.org/cvss/ を参照してください。
CVSS スコアを計算する際、マカフィーでは一貫性と再現性を高める哲学を採用しました。 CVSS スコアリングのための我々の指針原則は、検討中のエクスプロイトを単独で採点することです。 考慮中の攻撃の直接的な影響のみを考慮します。 スコアリングされた問題をうまく利用することによって可能になるかもしれない潜在的なフォローオンの脆弱性をスコア化することはありません。
CVSS スコアリングメトリクスは何ですか?
CVE-2018-11784: ePO and Apache Tomcat
Base Score | 5.3 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | Low (L) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | None (N) |
Integrity (I) | Low (L) |
Availability (A) | None (N) |
Temporal Score (Overall) | 4.6 |
Exploitability (E) | Unproven (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C
すべてのセキュリティ情報の一覧はどこで入手できますか?
すべてのセキュリティ情報は外部 PSIRT の Web サイト (http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx) のセキュリティ情報へ掲載されています。 セキュリティ情報は、製品が販売終了とサポート終了時(End of Life)のいずれかになると、廃止(削除)されます。
マカフィーへ製品に関する脆弱性を報告するにはどうすればよいですか?
マカフィー製品に関するセキュリティ上の問題や脆弱性に関する情報がある場合、McAfee PSIRT の Web サイト (http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx) > セキュリティ脆弱性の報告 を参照してください。
この問題や他のセキュリティ事項を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。
マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。
マカフィーは、ハッカーコミュニティに対して製品が狙われる情報を単純に提供し、お客様のリスクを増加させることが無いように、製品の脆弱性は有効な回避策、 Patch、Hotfix を合わせてのみ発表します。マカフィーは既知の脆弱性の影響を受ける製品や脆弱性がすでに知られ脆弱性に影響しない製品のリストを公開することがありますが、現在実施可能な回避策はありません。
McAfee PSIRTのWebサイト(http://www.mcafee.com/us/threat-center/product-security-bulletins.aspx)の "PSIRT について" を参照ください。
リソース
テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。
免責事項
The information provided in this Security Bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the preceding limitation may not apply.
Any future product release dates mentioned in this Security Bulletin are intended to outline our general product direction, and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or canceled at any time.
言語:
この記事は、次の言語で表示可能です: