McAfee Security Bulletin - McAfee エージェント 4つの脆弱性対応について (CVE-2020-7311, CVE-2020-7312, CVE-2020-7314, and CVE-2020-7315)
セキュリティ情報 ID:
SB10325
最終更新: 2023/02/21
最終更新: 2023/02/21
概要
製品: | 影響を受けるバージョン: | CVE ID: | 脆弱性の影響 | Severity Ratings: | CVSS v3.1 Base/Temporal Scores: |
McAfee Agent (MA) for Windows | 5.6.6 より前 | CVE-2020-7311 | Privilege Escalation (CWE-274) 特権昇格 |
High | 7.8 / 7.3 |
MA for Windows | 5.6.6 より前 | CVE-2020-7312 | DLL Search Order Hijacking (CWE-427) DLL Search Order ハイジャック |
High | 7.8 / 7.3 |
MA for Windows | 5.6.6 より前 | CVE-2020-7315 | DLL Injection (CWE-114) DLL インジェクション |
Medium | 6.0 / 5.4 |
MA for Mac | 5.6.6 より前 | CVE-2020-7314 | Privilege Escalation (CWE-274) 特権昇格 |
High | 8.2 / 7.4 |
Recommendations: | 対応バージョンのインストール、アップデート | ||||
Security Bulletin Replacement: | なし | ||||
ソフトウェアのダウンロード | https://www.trellix.com/ja-jp/downloads/my-products.html |
このセキュリティ情報が更新されたときに電子メールで通知を受け取るには、ページの右側にある[購読]をクリックします。購読するには、ログインしている必要があります。
脆弱性の詳細
MA for Windows:
- CVE-2020-7311
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7311 (現在リンク先に情報がございません)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7311
- CVE-2020-7312
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7312(現在リンク先に情報がございません)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7312
- CVE-2020-7315
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7315 (現在リンク先に情報がございません)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7315
MA for Mac:
macOSプラットフォームでは、McAfee Data Exchange Layer Clientインストーラが、権限の低いユーザーがrootユーザーとしてコマンドを実行できるようにする不正な権限を持つ一時ファイルを書き出します。この問題に対する修正は、MA 5.6.6 Updateリリースに含まれています。
4.CVE-2020-7314.MA 5.6.6 より前の McAfee Agent (MA) for Mac に同梱されている McAfee Data Exchange Layer (DXL) Client for Mac のインストーラにある特権昇格の脆弱性により、ローカル ユーザーが一時ファイルに誤って適用された権限を介して root としてコマンドを実行することが可能になります。
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-7314 (現在リンク先に情報がございません)
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7314
Remediation
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-7314
- MA 5.6.xの場合: MA 5.6.6. へのアップデート
- MA 5.5.xの場合: MA 5.6.6. へのアップデート MA 5.5.x は2020/12/16にEOLを迎えるため、MA 5.6.6.へアップグレードすることを強く推奨いたします。
製品 | バージョン | 種類 | リリース日 |
MA for Windows | 5.6.6 | Update | September 9, 2020 |
MA for Mac | 5.6.6 | Update | September 9, 2020 |
ダウンロードとインストールの手順
マカフィー製品、更新プログラム、Hotfix、ドキュメントをダウンロードする方法については KB56057 を参照してください。 これらのアップデートをインストールする方法については、ドキュメントタブからダウンロードできるリリースノートとインストールガイドを確認してください。
Acknowledgments
CVE-2020-7311 - McAfee credits Sebastian Schuster from Airbus CyberSecurity for responsibly reporting this flaw.
CVE-2020-7312 - McAfee credits Andrew Hess (any1) for responsibly reporting this flaw.
CVE-2020-7314 - McAfee credits Lockheed Martin Red Team for responsibly reporting this flaw.
CVE-2020-7315 - McAfee credits Clément Notin for responsibly reporting this flaw.
Frequently Asked Questions (FAQs)
McAfee 製品の脆弱性の有無はどうやって調べますか?
エンドポイント製品:
エンドポイントまたはクライアントベースの製品には、以下の手順を使用してください。
- Right-click on the McAfee tray shield icon on the Windows taskbar.
- Select Open Console.
- In the console, select Action Menu.
- In the Action Menu, select Product Details. The product version displays
CVSSとは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/.
CVSSスコアを計算する際、McAfeeは一貫性と再現性を促進する哲学を採用しています。 CVSSスコアリングの指針となる原則は、検討中のエクスプロイト自体をスコアリングすることです。 検討中のエクスプロイトの直接の直接的な影響のみを考慮します。 スコアリングされている問題の悪用が成功した場合に可能になる可能性がある後続のエクスプロイトをスコアに考慮しません。
What are the CVSS scoring metrics?
使用されるCVSSスコアリングメトリクスは何ですか?
- CVE-2020-7311: Privilege Escalation vulnerability in MA for Windows
Base Score | 7.8 |
Attack Vector (AV) | Local (L) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | Low (L) |
User Interaction (UI) | None (N) |
Scope (S) | Changed (C) |
Confidentiality (C) | High (H) |
Integrity (I) | High (H) |
Availability (A) | High (H) |
Temporal Score (Overall) | 7.3 |
Exploitability (E) | Proof-of-Concept (P) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C&version=3
- CVE-2020-7312: DLL Search Order Hijacking in MA for Windows
Base Score | 7.8 |
Attack Vector (AV) | Local (L) |
Attack Complexity (AC) | High (H) |
Privileges Required (PR) | Low (L) |
User Interaction (UI) | None (N) |
Scope (S) | Changed (C) |
Confidentiality (C) | High (H) |
Integrity (I) | High (H) |
Availability (A) | High (H) |
Temporal Score (Overall) | 7.3 |
Exploitability (E) | Proof-of-Concept (P) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C&version=3.1
- CVE-2020-7314: Privilege Escalation vulnerability in McAfee DXL for Mac
Base Score | 8.2 |
Attack Vector (AV) | Local (L) |
Attack Complexity (AC) | Low (L) |
Privileges Required (PR) | Low (L) |
User Interaction (UI) | Required (R) |
Scope (S) | Changed (C) |
Confidentiality (C) | High (H) |
Integrity (I) | High (H) |
Availability (A) | High (H) |
Temporal Score (Overall) | 7.4 |
Exploitability (E) | Proof-of-Concept (P) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C&version=3.1
- CVE-2020-7315: DLL Injection vulnerability in MA for Windows
Base Score | 6.0 |
Attack Vector (AV) | Local (L) |
Attack Complexity (AC) | Low (L) |
Privileges Required (PR) | High (H) |
User Interaction (UI) | None (N) |
Scope (S) | Unchanged (U) |
Confidentiality (C) | None (N) |
Integrity (I) | High (H) |
Availability (A) | High (H) |
Temporal Score (Overall) | 5.4 |
Exploitability (E) | Proof-of-Concept (P) |
Remediation Level (RL) | Official Fix (O) |
Report Confidence (RC) | Confirmed (C) |
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H/E:P/RL:O/RC:C&version=3.1
すべてのセキュリティ情報の一覧はどこで入手できますか?
すべてのセキュリティ情報は外部 PSIRT の Web サイト (https://www.mcafee.com/us/threat-center/product-security-bulletins.aspx)のセキュリティ情報へ掲載されています。 セキュリティ情報は、製品が販売終了とサポート終了時(End of Life)のいずれかになると、廃止(削除)されます。
製品の脆弱性をマカフィーへ報告する方法は?
McAfee製品のセキュリティ問題または脆弱性に関する情報がある場合は、McAfee PSIRT Webサイトにアクセスして、次のURLで手順を確認してください。https://www.mcafee.com/us/threat-center/product-security-bulletins.aspx > Report a Security Vulnerability 。
McAfeeは、これおよびその他の報告されたセキュリティ上の欠陥にどのように対応しますか?
マカフィーの最優先事項は、お客様のセキュリティです。 McAfeeのソフトウェアまたはサービスに脆弱性が見つかった場合、関連するセキュリティソフトウェア開発チームと緊密に連携して、修正およびコミュニケーション計画を迅速かつ効果的に開発します。
マカフィーは、回避策、緩和策、バージョンアップデート、修正プログラムなどのアクション可能なものが含まれている場合にのみセキュリティ速報を公開します。 それ以外の場合は、ハッカーコミュニティに当社の製品がターゲットであることを通知するだけで、顧客をより大きなリスクにさらすことになります。 自動的に更新される製品の場合は、発見者を確認するために、対処できないセキュリティ情報が公開される場合があります。
McAfee PSIRT Webサイト(https://www.mcafee.com/us/threat-center/product-security-bulletins.aspx > About PSIRT )でPSIRTポリシーを確認してください。
リソース
テクニカルサポートに連絡するには、ServicePortalにログオンし、次のURLのサービスリクエストの作成ページにアクセスしてください。https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR:
- ユーザー登録済みの場合、ID とパスワード入力し、ログインをクリックします。
Disclaimer
The information provided in this Security Bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the preceding limitation may not apply.
Any future product release dates mentioned in this Security Bulletin are intended to outline our general product direction, and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or canceled at any time.
言語:
この記事は、次の言語で表示可能です: