マカフィーセキュリティ情報 – Javaの脆弱性に対応するためのePolicy Orchestrator製品の更新(CVE-2020-2604, CVE-2019-2949, CVE-2019-2989, CVE-2019-2975, CVE-2020-2593, CVE-2019-2894, CVE-2020-2654, CVE-2020-2590, CVE-2020-2583, CVE-2019-2933)
セキュリティ情報 ID:
SB10315
最終更新: 2023/02/21
最終更新: 2023/02/21
概要
初版公開:2020年5月12日
この記事が更新されたときに電子メール通知を受け取るには、ページ右側のサブスクライブをクリックします。 購読するには、ログインする必要があります。
脆弱性の影響 | Denial of Service (CWE-730, OWASP 2004:A9) Improper Access Control (CWE-287) |
CVE ID: | CVE-2020-2604 CVE-2019-2949 CVE-2019-2989 CVE-2019-2975 CVE-2020-2593 CVE-2019-2894 CVE-2020-2654 CVE-2020-2590 CVE-2020-2583 CVE-2019-2933 |
Severity Rating: | CVE-2020-2604: High CVE-2019-2949: Medium CVE-2019-2989: Medium CVE-2019-2975: Medium CVE-2020-2593: Medium CVE-2019-2894: Low CVE-2020-2654: Low CVE-2020-2590: Low CVE-2020-2583: Low CVE-2019-2933: Low |
CVSS v3 Base/Temporal Scores: | CVE-2020-2604: 8.1/7.1 CVE-2019-2949: 6.8/5.9 CVE-2019-2989: 6.8/5.9 CVE-2019-2975: 4.8/4.2 CVE-2020-2593: 4.8/4.2 CVE-2019-2894: 3.7/3.2 CVE-2020-2654: 3.7/3.2 CVE-2020-2590: 3.7/3.2 CVE-2020-2583: 3.7/3.2 CVE-2019-2933: 3.1/2.7 |
推奨方法 | Install one of the following ePolicy Orchestrator (ePO) versions:
|
Security Bulletin Replacement: | None |
影響を受けるソフトウェア: |
|
アップデートソフトウェアの入手先: | https://www.trellix.com/ja-jp/downloads/my-products.html |
この記事が更新されたときに電子メール通知を受け取るには、ページ右側のサブスクライブをクリックします。 購読するには、ログインする必要があります。
説明
今回の更新は以下の脆弱性に対応します。
- CVE-2020-2604
悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、JavaSEが乗っ取られる可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2020-2604
- CVE-2019-2949
悪用が難しい悪用が難しい脆弱性により、認証されていない攻撃者がKerberosを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。脆弱性はJava SEにありますが、攻撃は追加の製品に大きな影響を与える可能性があります。 この脆弱性の攻撃が成功すると、重要なデータへの不正アクセスや、Java SEからアクセス可能なすべてのデータへの完全なアクセスが発生する可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2019-2949
- CVE-2019-2989
悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。脆弱性はJava SEにありますが、攻撃は追加の製品に大きな影響を与える可能性があります。 この脆弱性への攻撃が成功すると、重要なデータまたはJava SEからアクセス可能なすべてのデータに対して不正な作成、削除、または変更が発生する可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2019-2989
- CVE-2019-2975
悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEからアクセス可能な一部のデータへ対して不正な更新、挿入、または削除、およびJava SEの部分的なサービス拒否(DoS)が引き起こされる可能性があります。https://nvd.nist.gov/vuln/detail/CVE-2019-2975
- CVE-2020-2593
悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、一部のJava SEでアクセス可能なデータに対し不正な更新、挿入、または削除、およびJava SEでアクセス可能データのサブセットへの不正な読み取りアクセスが発生する可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2020-2593
- CVE-2019-2894
悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。この脆弱性への攻撃が成功すると、Java SEからアクセス可能なデータのサブセットへの不正な読み取りアクセスが発生する可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2019-2894
- CVE-2020-2654
悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。この脆弱性の攻撃が成功すると、Java SEにおいて部分的なDoSが引き起こされる可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2020-2654
- CVE-2020-2590
悪用が難しい脆弱性により、認証されていない攻撃者がKerberosを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、一部のJava SEでアクセス可能なデータに対し不正な更新、挿入、または削除が発生する可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2020-2590
- CVE-2020-2583
悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。この脆弱性に対する攻撃が成功すると、Java SEの部分的なサービス拒否(DoS)が引き起こされる可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2020-2583
- CVE-2019-2933
悪用が難しい脆弱性により、認証されていない攻撃者が複数のプロトコルを介してネットワークにアクセスし、JavaSEを侵害する可能性があります。攻撃を成功させるには、攻撃者以外の人間による人間の操作が必要です。 この脆弱性への攻撃が成功すると、Java SEからアクセス可能なデータのサブセットへの不正な読み取りアクセスが発生する可能性があります。
https://nvd.nist.gov/vuln/detail/CVE-2019-2933
回避策
マカフィーではご利用のePOに対して以下の最新あるいはHotfixを適用することを強く推奨いたします。
- ePO 5.10のユーザーは、ePO 5.10.0 Update 7に更新する必要があります。
- ePO 5.9.1のユーザーは、ePOホットフィックスEPO-HF87900_591を適用するか、ePO 5.10.0 Update 7にアップグレードする必要があります。
- ePO 5.9.0のユーザーは、ePO 5.9.1にアップグレードしてePOホットフィックスEPO-HF87900_591を適用するか、ePO 5.10.0 Update 7にアップグレードする必要があります。
製品 | バージョン | 種別 | ファイル名 | リリース日 |
ePO | 5.10 | Update | ePO 5.10.0 Update 7 | May 12, 2020 |
ePO | 5.9.1 | Hotfix | EPO-HF87900_591.zip | May 12, 2020 |
ダウンロードおよびインストール手順
マカフィー製品、更新プログラム、Hotfix、ドキュメントをダウンロードする方法については KB56057 を参照してください。 これらのアップデートをインストールする方法については、ドキュメントタブからダウンロードできるリリースノートとインストールガイドを確認してください。
よくある質問(FAQ)
McAfee 製品の脆弱性の有無はどうやって調べますか?
ePO:
ePOには次の手順を使用します。
インストールされているePOのバージョンとビルドを確認します。 バージョンの確認方法については、KB52634を参照してください。
CVSSとは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/.
CVSSスコアを計算する際、McAfeeは一貫性と再現性を促進する哲学を採用しています。 CVSSスコアリングの指針となる原則は、検討中のエクスプロイト自体をスコアリングすることです。 検討中のエクスプロイトの直接の直接的な影響のみを考慮します。 スコアリングされている問題の悪用が成功した場合に可能になる可能性がある後続のエクスプロイトをスコアに考慮しません。
使用されるCVSSスコアリングメトリクスは何ですか?
CVE-2020-2604: ePO およびJava Base Score |
8.1 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | High (H) |
Integrity (I) | High (H) |
Availability (A) | High (H) |
Temporal Score (Overall) | 7.1 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2949: ePO およびJava
Base Score | 6.8 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Changed (C) |
Confidentiality (C) | High (H) |
Integrity (I) | None (N) |
Availability (A) | None (N) |
Temporal Score (Overall) | 5.9 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2989: ePO およびJava
Base Score | 6.8 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Changed (C) |
Confidentiality (C) | None (N) |
Integrity (I) | High (H) |
Availability (A) | None (N) |
Temporal Score (Overall) | 5.9 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2975: ePO および Java
Base Score | 4.8 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | None (N) |
Integrity (I) | Low (L) |
Availability (A) | Low (L) |
Temporal Score (Overall) | 4.2 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L/E:U/RL:O/RC:C&version=3.1
- CVE-2020-2593: ePO および Java
Base Score | 4.8 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | Low (L) |
Integrity (I) | Low (L) |
Availability (A) | None (N) |
Temporal Score (Overall) | 4.2 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2894: ePO および Java
Base Score | 3.7 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | Low (L) |
Integrity (I) | None (N) |
Availability (A) | None (N) |
Temporal Score (Overall) | 3.2 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2020-2654: ePO および Java
Base Score | 3.7 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | None (N) |
Integrity (I) | None (N) |
Availability (A) | Low (L) |
Temporal Score (Overall) | 3.2 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C&version=3.1
- CVE-2020-2590: ePO および Java
Base Score | 3.7 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | None (N) |
Integrity (I) | Low (L) |
Availability (A) | None (N) |
Temporal Score (Overall) | 3.2 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2020-2583: ePO および Java
Base Score | 3.7 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | None (N) |
Integrity (I) | None (N) |
Availability (A) | Low (L) |
Temporal Score (Overall) | 3.2 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2933: ePO および Java
Base Score | 3.1 |
Attack Vector (AV) | Network (N) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | None (N) |
User Interaction (UI) | Required (R) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | Low (L) |
Integrity (I) | None (N) |
Availability (A) | None (N) |
Temporal Score (Overall) | 2.7 |
Exploitability (E) | Unproven that exploit exists (U) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
-
NOTE: 以下の CVSS バージョン 3.1 ベクトルがこのスコアの生成に使用されました。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C&version=3.1
すべてのセキュリティ情報は外部 PSIRT の Web サイト (https://www.mcafee.com/us/threat-center/product-security-bulletins.aspx)のセキュリティ情報へ掲載されています。 セキュリティ情報は、製品が販売終了とサポート終了時(End of Life)のいずれかになると、廃止(削除)されます。
製品の脆弱性をマカフィーへ報告する方法は?
McAfee製品のセキュリティ問題または脆弱性に関する情報がある場合は、McAfee PSIRT Webサイトにアクセスして、次のURLで手順を確認してください。https://www.mcafee.com/us/threat-center/product-security-bulletins.aspx > Report a Security Vulnerability 。
McAfeeは、これおよびその他の報告されたセキュリティ上の欠陥にどのように対応しますか?
マカフィーの最優先事項は、お客様のセキュリティです。 McAfeeのソフトウェアまたはサービスに脆弱性が見つかった場合、関連するセキュリティソフトウェア開発チームと緊密に連携して、修正およびコミュニケーション計画を迅速かつ効果的に開発します。
マカフィーは、回避策、緩和策、バージョンアップデート、修正プログラムなどのアクション可能なものが含まれている場合にのみセキュリティ速報を公開します。 それ以外の場合は、ハッカーコミュニティに当社の製品がターゲットであることを通知するだけで、顧客をより大きなリスクにさらすことになります。 自動的に更新される製品の場合は、発見者を確認するために、対処できないセキュリティ情報が公開される場合があります。
McAfee PSIRT Webサイト(https://www.mcafee.com/us/threat-center/product-security-bulletins.aspx > About PSIRT )でPSIRTポリシーを確認してください。
リソース
リソース
テクニカルサポートに連絡するには、ServicePortalにログオンし、次のURLのサービスリクエストの作成ページにアクセスしてください。https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR:
テクニカルサポートに連絡するには、ServicePortalにログオンし、次のURLのサービスリクエストの作成ページにアクセスしてください。https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR:
- ユーザー登録済みの場合、ID とパスワード入力し、ログインをクリックします。
免責事項
The information provided in this Security Bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the preceding limitation may not apply.
Any future product release dates mentioned in this Security Bulletin are intended to outline our general product direction, and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or canceled at any time.
影響を受ける製品
言語:
この記事は、次の言語で表示可能です: