Security Bulletin - ePolicy Orchestrator update fixes Java vulnerabilities (CVE-2020-2604, CVE-2019-2949, CVE-2019-2989, CVE-2019-2975, CVE-2020-2593, CVE-2019-2894, CVE-2020-2654, CVE-2020-2590, CVE-2020-2583, CVE-2019-2933)
Bollettini sulla sicurezza ID:
SB10315
Ultima modifica: 2022-05-04 16:54:20 Etc/GMT
Ultima modifica: 2022-05-04 16:54:20 Etc/GMT
Riepilogo
First Published: May 12, 2020
Article contents: Vulnerability Description
This update resolves the following vulnerabilities.
We strongly recommend that you install the latest update or hotfix for your version of ePO.
Download and Installation Instructions
For instructions to download product updates and hotfixes, see KB56057 - How to download Enterprise product updates and documentation. Review the Release Notes and Installation Guide for instructions on how to install these updates. All documentation is available at our Product Documentation site.
Frequently Asked Questions (FAQs)
How do I know if my product is vulnerable?
For ePO:
Use the following instructions for ePO:
Check the version and build of ePO that is installed. For information about how to check the version, see: KB52634.
What is CVSS?
CVSS, or Common Vulnerability Scoring System, is the result of the National Infrastructure Advisory Council's effort to standardize a system of assessing the criticality of a vulnerability. This system offers an unbiased criticality score between 0 and 10 that customers can use to judge how critical a vulnerability is and plan accordingly. For more information, visit the CVSS website.
When calculating CVSS scores, we've adopted a philosophy that fosters consistency and repeatability. Our guiding principle for CVSS scoring is to score the exploit under consideration by itself. We consider only the immediate and direct impact of the exploit under consideration. We do not factor into a score any potential follow-on exploits that might be made possible by the successful exploitation of the issue being scored.
What are the CVSS scoring metrics?
Tutti i bollettini sulla sicurezza sono pubblicati sul nostro centro informazioni. I bollettini sulla sicurezza vengono ritirati (rimossi) una volta che un prodotto è al termine della vendita e alla fine del supporto (End of Life).
Come posso segnalare una vulnerabilità di un prodotto?
Se si dispone di informazioni su un problema di sicurezza o su una vulnerabilità con un prodotto, attenersi alle istruzioni fornite in KB95563-segnalare una vulnerabilità.
Come Rispondi a questo e a qualsiasi altro difetto di sicurezza segnalato?
La nostra priorità fondamentale è la sicurezza dei nostri clienti. Se si riscontra una vulnerabilità all'interno di uno dei nostri software o servizi, lavoriamo a stretto contatto con il team di sviluppo del software di sicurezza per garantire lo sviluppo rapido ed efficace di un piano di comunicazione e Fix.
Pubblichiamo solo bollettini sulla sicurezza se includono qualcosa di fruibile come una soluzione alternativa, mitigazione, aggiornamento della versione o hotfix. In caso contrario, informeremo semplicemente la comunità hacker che i nostri prodotti sono un bersaglio, mettendo i nostri clienti a maggior rischio. Per i prodotti che vengono aggiornati automaticamente, potrebbe essere pubblicato un bollettino di sicurezza non utilizzabile per riconoscere lo scopritore.
Per visualizzare il policy di PSIRT, vedere KB95564-informazioni su psirt.
Resources
Disclaimer
Le informazioni fornite nel presente Bollettino sulla sicurezza sono fornite senza alcuna garanzia di alcun tipo. Decliniamo tutte le garanzie, espresse o implicite, comprese le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso noi o i nostri fornitori siamo ritenuti responsabili per eventuali danni, compresi diretti, indiretti, incidentali, consequenziali, perdite di profitti aziendali o danni speciali, anche se noi o i nostri fornitori siamo stati informati della possibilità di tali danni. Alcuni Stati non consentono l'esclusione o la limitazione di responsabilità per danni consequenziali o incidentali, pertanto la limitazione precedente potrebbe non essere valida.
Qualsiasi data di rilascio futura del prodotto menzionata nel presente Bollettino sulla sicurezza ha lo scopo di delineare la nostra direzione generale del prodotto e non dovrebbe essere invocata per prendere una decisione di acquisto. Le date di rilascio dei prodotti sono indicate a solo scopo informativo e non devono essere incluse in alcun contratto. Le date di versione prodotto non sono un impegno, una promessa o un obbligo legale di fornire materiale, codice o funzionalità. Lo sviluppo, il rilascio e la tempistica di qualsiasi funzionalità o funzionalità descritta per i nostri prodotti rimangono a nostra esclusiva discrezione e possono essere modificati o annullati in qualsiasi momento.
Impact of Vulnerability: | Denial of Service (CWE-730, OWASP 2004:A9) Improper Access Control (CWE-287) |
CVE ID: | CVE-2020-2604 CVE-2019-2949 CVE-2019-2989 CVE-2019-2975 CVE-2020-2593 CVE-2019-2894 CVE-2020-2654 CVE-2020-2590 CVE-2020-2583 CVE-2019-2933 |
Severity Rating: | CVE-2020-2604: High CVE-2019-2949: Medium CVE-2019-2989: Medium CVE-2019-2975: Medium CVE-2020-2593: Medium CVE-2019-2894: Low CVE-2020-2654: Low CVE-2020-2590: Low CVE-2020-2583: Low CVE-2019-2933: Low |
CVSS v3 Base/Temporal Scores: | CVE-2020-2604: 8.1/7.1 CVE-2019-2949: 6.8/5.9 CVE-2019-2989: 6.8/5.9 CVE-2019-2975: 4.8/4.2 CVE-2020-2593: 4.8/4.2 CVE-2019-2894: 3.7/3.2 CVE-2020-2654: 3.7/3.2 CVE-2020-2590: 3.7/3.2 CVE-2020-2583: 3.7/3.2 CVE-2019-2933: 3.1/2.7 |
Recommendations: | Install one of the following ePolicy Orchestrator (ePO) versions:
|
Security Bulletin Replacement: | None |
Affected Software: |
|
Location of updated software: | Product Downloads site |
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
Article contents: Vulnerability Description
This update resolves the following vulnerabilities.
- CVE-2020-2604
Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE. Successful attacks of this vulnerability can result in takeover of Java SE.
https://nvd.nist.gov/vuln/detail/CVE-2020-2604
- CVE-2019-2949
Difficult to exploit vulnerability allows unauthenticated attacker with network access via Kerberos to compromise Java SE. While the vulnerability is in Java SE, attacks can significantly impact additional products. Successful attacks of this vulnerability can result in unauthorized access to critical data or complete access to all Java SE accessible data.
https://nvd.nist.gov/vuln/detail/CVE-2019-2949
- CVE-2019-2989
Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE. While the vulnerability is in Java SE, attacks can significantly impact additional products. Successful attacks of this vulnerability can result in unauthorized creation, deletion, or modification access to critical data or all Java SE accessible data.
https://nvd.nist.gov/vuln/detail/CVE-2019-2989
- CVE-2019-2975
Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE. Successful attacks of this vulnerability can result in unauthorized update, insert, or delete access to some of Java SE accessible data and unauthorized ability to cause a partial denial of service (partial DOS) of Java SE.
https://nvd.nist.gov/vuln/detail/CVE-2019-2975
- CVE-2020-2593
Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE. Successful attacks of this vulnerability can result in unauthorized update, insert, or delete access to some of Java SE accessible data as well as unauthorized read access to a subset of Java SE accessible data.
https://nvd.nist.gov/vuln/detail/CVE-2020-2593
- CVE-2019-2894
Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE. Successful attacks of this vulnerability can result in unauthorized read access to a subset of Java SE accessible data.
https://nvd.nist.gov/vuln/detail/CVE-2019-2894
- CVE-2020-2654
Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE. Successful attacks of this vulnerability can result in unauthorized ability to cause a partial denial of service (partial DOS) of Java SE.
https://nvd.nist.gov/vuln/detail/CVE-2020-2654
- CVE-2020-2590
Difficult to exploit vulnerability allows unauthenticated attacker with network access via Kerberos to compromise Java SE. Successful attacks of this vulnerability can result in unauthorized update, insert, or delete access to some of Java SE accessible data.
https://nvd.nist.gov/vuln/detail/CVE-2020-2590
- CVE-2020-2583
Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE. Successful attacks of this vulnerability can result in unauthorized ability to cause a partial denial of service (partial DOS) of Java SE.
https://nvd.nist.gov/vuln/detail/CVE-2020-2583
- CVE-2019-2933
Difficult to exploit vulnerability allows unauthenticated attacker with network access via multiple protocols to compromise Java SE. Successful attacks require human interaction from a person other than the attacker. Successful attacks of this vulnerability can result in unauthorized read access to a subset of Java SE accessible data.
https://nvd.nist.gov/vuln/detail/CVE-2019-2933
We strongly recommend that you install the latest update or hotfix for your version of ePO.
- Users of ePO 5.10 should update to ePO 5.10.0 Update 7.
- Users of ePO 5.9.1 should apply ePO Hotfix EPO-HF87900_591, or upgrade to ePO 5.10.0 Update 7.
- Users of ePO 5.9.0 should upgrade to ePO 5.9.1 and apply ePO Hotfix EPO-HF87900_591, or upgrade to ePO 5.10.0 Update 7.
Product | Version | Type | File Name | Release Date |
ePO | 5.10 | Update | ePO 5.10.0 Update 7 | May 12, 2020 |
ePO | 5.9.1 | Hotfix | EPO-HF87900_591.zip | May 12, 2020 |
Download and Installation Instructions
For instructions to download product updates and hotfixes, see KB56057 - How to download Enterprise product updates and documentation. Review the Release Notes and Installation Guide for instructions on how to install these updates. All documentation is available at our Product Documentation site.
Frequently Asked Questions (FAQs)
How do I know if my product is vulnerable?
For ePO:
Use the following instructions for ePO:
Check the version and build of ePO that is installed. For information about how to check the version, see: KB52634.
What is CVSS?
CVSS, or Common Vulnerability Scoring System, is the result of the National Infrastructure Advisory Council's effort to standardize a system of assessing the criticality of a vulnerability. This system offers an unbiased criticality score between 0 and 10 that customers can use to judge how critical a vulnerability is and plan accordingly. For more information, visit the CVSS website.
When calculating CVSS scores, we've adopted a philosophy that fosters consistency and repeatability. Our guiding principle for CVSS scoring is to score the exploit under consideration by itself. We consider only the immediate and direct impact of the exploit under consideration. We do not factor into a score any potential follow-on exploits that might be made possible by the successful exploitation of the issue being scored.
What are the CVSS scoring metrics?
- CVE-2020-2604: ePO and Java
Base Score 8.1 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Unchanged (U) Confidentiality (C) High (H) Integrity (I) High (H) Availability (A) High (H) Temporal Score (Overall) 7.1 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2949: ePO and Java
Base Score 6.8 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Changed (C) Confidentiality (C) High (H) Integrity (I) None (N) Availability (A) None (N) Temporal Score (Overall) 5.9 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2989: ePO and Java
Base Score 6.8 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Changed (C) Confidentiality (C) None (N) Integrity (I) High (H) Availability (A) None (N) Temporal Score (Overall) 5.9 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2975: ePO and Java
Base Score 4.8 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Unchanged (U) Confidentiality (C) None (N) Integrity (I) Low (L) Availability (A) Low (L) Temporal Score (Overall) 4.2 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L/E:U/RL:O/RC:C&version=3.1
- CVE-2020-2593: ePO and Java
Base Score 4.8 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Unchanged (U) Confidentiality (C) Low (L) Integrity (I) Low (L) Availability (A) None (N) Temporal Score (Overall) 4.2 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2894: ePO and Java
Base Score 3.7 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Unchanged (U) Confidentiality (C) Low (L) Integrity (I) None (N) Availability (A) None (N) Temporal Score (Overall) 3.2 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2020-2654: ePO and Java
Base Score 3.7 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Unchanged (U) Confidentiality (C) None (N) Integrity (I) None (N) Availability (A) Low (L) Temporal Score (Overall) 3.2 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C&version=3.1
- CVE-2020-2590: ePO and Java
Base Score 3.7 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Unchanged (U) Confidentiality (C) None (N) Integrity (I) Low (L) Availability (A) None (N) Temporal Score (Overall) 3.2 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:O/RC:C&version=3.1
- CVE-2020-2583: ePO and Java
Base Score 3.7 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) None (N) Scope (S) Unchanged (U) Confidentiality (C) None (N) Integrity (I) None (N) Availability (A) Low (L) Temporal Score (Overall) 3.2 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L/E:U/RL:O/RC:C&version=3.1
- CVE-2019-2933: ePO and Java
Base Score 3.1 Attack Vector (AV) Network (N) Attack Complexity (AC) High (H) Privileges Required (PR) None (N) User Interaction (UI) Required (R) Scope (S) Unchanged (U) Confidentiality (C) Low (L) Integrity (I) None (N) Availability (A) None (N) Temporal Score (Overall) 2.7 Exploitability (E) Unproven that exploit exists (U) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
NOTE: The below CVSS version 3.1 vector was used to generate this score.
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N/E:U/RL:O/RC:C&version=3.1
Tutti i bollettini sulla sicurezza sono pubblicati sul nostro centro informazioni. I bollettini sulla sicurezza vengono ritirati (rimossi) una volta che un prodotto è al termine della vendita e alla fine del supporto (End of Life).
Come posso segnalare una vulnerabilità di un prodotto?
Se si dispone di informazioni su un problema di sicurezza o su una vulnerabilità con un prodotto, attenersi alle istruzioni fornite in KB95563-segnalare una vulnerabilità.
Come Rispondi a questo e a qualsiasi altro difetto di sicurezza segnalato?
La nostra priorità fondamentale è la sicurezza dei nostri clienti. Se si riscontra una vulnerabilità all'interno di uno dei nostri software o servizi, lavoriamo a stretto contatto con il team di sviluppo del software di sicurezza per garantire lo sviluppo rapido ed efficace di un piano di comunicazione e Fix.
Pubblichiamo solo bollettini sulla sicurezza se includono qualcosa di fruibile come una soluzione alternativa, mitigazione, aggiornamento della versione o hotfix. In caso contrario, informeremo semplicemente la comunità hacker che i nostri prodotti sono un bersaglio, mettendo i nostri clienti a maggior rischio. Per i prodotti che vengono aggiornati automaticamente, potrebbe essere pubblicato un bollettino di sicurezza non utilizzabile per riconoscere lo scopritore.
Per visualizzare il policy di PSIRT, vedere KB95564-informazioni su psirt.
Resources
Per contattare assistenza tecnica, accedere alla pagina Crea richiesta di assistenza e accedere a ServicePortal.
- Se si è utenti registrati, digitare l'ID utente e la password, quindi fare clic su accesso.
- Se non si è utenti registrati, fare clic su registra e completare i campi per inviare via email i password e le istruzioni.
Disclaimer
Le informazioni fornite nel presente Bollettino sulla sicurezza sono fornite senza alcuna garanzia di alcun tipo. Decliniamo tutte le garanzie, espresse o implicite, comprese le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso noi o i nostri fornitori siamo ritenuti responsabili per eventuali danni, compresi diretti, indiretti, incidentali, consequenziali, perdite di profitti aziendali o danni speciali, anche se noi o i nostri fornitori siamo stati informati della possibilità di tali danni. Alcuni Stati non consentono l'esclusione o la limitazione di responsabilità per danni consequenziali o incidentali, pertanto la limitazione precedente potrebbe non essere valida.
Qualsiasi data di rilascio futura del prodotto menzionata nel presente Bollettino sulla sicurezza ha lo scopo di delineare la nostra direzione generale del prodotto e non dovrebbe essere invocata per prendere una decisione di acquisto. Le date di rilascio dei prodotti sono indicate a solo scopo informativo e non devono essere incluse in alcun contratto. Le date di versione prodotto non sono un impegno, una promessa o un obbligo legale di fornire materiale, codice o funzionalità. Lo sviluppo, il rilascio e la tempistica di qualsiasi funzionalità o funzionalità descritta per i nostri prodotti rimangono a nostra esclusiva discrezione e possono essere modificati o annullati in qualsiasi momento.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: