マカフィーセキュリティ情報 - ePolicy Orchestrator 複数の脆弱性の対処 (CVE-2020-7317, CVE-2020-7318, CVE-2020-13935, CVE-2020-9484, CVE-2020-14621, CVE-2020-14573, CVE-2020-14578, CVE-2020-14579, CVE-2020-14581, CVE-2020-2754, CVE-2020-2755, CVE-2020-2756, CVE-2020-2757, CVE-2020-2764, CVE-2020-2773)
セキュリティ情報 ID:
SB10332
最終更新: 2023-02-21 16:20:20 Etc/GMT
最終更新: 2023-02-21 16:20:20 Etc/GMT
概要
初版: 2020年10月13日
製品: | CVE ID: | 脆弱性の影響: | 重大度評価: | CVSS v3.1 Base/Temporal Scores: |
ePolicy Orchestrator (ePO) | CVE-2020-7317 | Improper Neutralization of Input (CWE-79) | Medium | 4.6 / 4.2 |
CVE-2020-7318 | Improper Neutralization of Input (CWE-79) | Medium | 4.6 / 4.2 | |
CVE-2020-13935 | Denial of Service (CWE-730) | High | 7.5 | |
CVE-2020-9484 | Improper Control of Generation of Code (CWE-94) | High | 7.0 | |
CVE-2020-14621 | Incorrect Authorization (CWE-863) | Medium | 5.3 | |
CVE-2020-14573 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-14578 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-14579 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-14581 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-2754 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-2755 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-2756 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-2757 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-2764 | Improper Input Validation (CWE-20) | Low | 3.7 | |
CVE-2020-2773 | Improper Input Validation (CWE-20) | Low | 3.7 | |
Highest rating: | High | |||
Impacted versions: | ePO 5.9.x, ePO 5.10.0 earlier than ePO 5.10.0 Update 9 NOTE: CVE-2020-7318 does not impact ePO 5.9.x. |
|||
Recommendations: | Install or update to ePO 5.10.0 Update 9 | |||
Security Bulletin Replacement: | None | |||
Location of updated software: | https://www.trellix.com/ja-jp/downloads/my-products.html |
このセキュリティ情報が更新されたときにメールで通知を受け取るには、ページの右側にある Subscribe をクリックしてください。購読するには、ログインする必要があります。
記事の内容:
- Vulnerability Description
- Remediation
- Acknowledgments
- Frequently Asked Questions (FAQs)
- Resources
- Disclaimer
このセキュリティ情報には、ePO のコードベースおよびサードパーティのライブラリに発見された脆弱性の詳細が記載されています。脆弱性の深刻度は「Low」から「High」までありますので、最新の ePO バージョンに更新することをお勧めします。
サードパーティライブラリ:
Tomcat
- CVE-2020-13935
Apache Tomcat 10.0.0-M1~10.0.0-M6、9.0.0.M1~9.0.36、8.5.0~8.5.56、7.0.27~7.0.104 において、WebSocket フレーム内のペイロード長が正しく検証されないという問題がありました。ペイロードの長さが無効な場合、無限ループに陥る可能性がありました。また、ペイロードの長さが無効なリクエストが複数回発生すると、サービス不能に陥る可能性があります。
- CVE-2020-9484
Apache Tomcatのバージョン10.0.0-M1~10.0.0-M4、9.0.0.M1~9.0.34、8.5.0~8.5.54、7.0.0~7.0.0を使用している場合。 103 a) 攻撃者がサーバー上のファイルの内容と名前を制御でき、b) サーバーがFileStore付きのPersistenceManagerを使用するように構成されており、c) PersistenceManagerがsectionAtttributeValueClassNameFilter="null"(SecurityManagerが使用されていない場合のデフォルト)、または攻撃者が提供したオブジェクトのデシリアライズを許可する十分に緩いフィルタで構成されている場合。d) 攻撃者が、FileStoreで使用されているストレージの場所から、攻撃者がコントロールしているファイルまでの相対的なファイルパスを知っている場合。なお、この攻撃が成功するためには、a)からd)のすべての条件が真である必要があります。
- CVE-2020-14573
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE を侵害することができます。この脆弱性を利用した攻撃に成功すると、Java SE のアクセス可能なデータの一部が不正に更新、挿入、削除される可能性があります。
注意: Java のクライアントおよびサーバーの配置に適用されます。この脆弱性は,サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを介して悪用される可能性があります。
- CVE-2020-14578
脆弱性は、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を侵害することを可能にします。この脆弱性を利用した攻撃に成功すると、認証されていない攻撃者が Java SE, Java SE Embedded の部分的なサービス拒否 (Partial DOS) を引き起こす可能性があります。
注意: Java のクライアントおよびサーバーの配置に適用されます。この脆弱性は,サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを介して悪用される可能性があります。
- CVE-2020-14581
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を危険にさらす可能性があります。この脆弱性を利用した攻撃に成功すると、Java SE, Java SE Embedded のアクセス可能なデータの一部に、不正な読み取りアクセスが可能になります。
注意: Javaのクライアントおよびサーバーへの展開に適用されます。
- CVE-2020-14621
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を危険にさらすことができます。この脆弱性を利用した攻撃に成功すると、Java SE, Java SE Embedded のアクセス可能なデータの一部が、不正に更新、挿入、削除される可能性があります。
- CVE-2020-14579
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を危険にさらすことができます。この脆弱性を利用した攻撃に成功すると、認証されていない攻撃者が、Java SE, Java SE Embedded の部分的なサービス拒否 (部分的な DOS) を引き起こす可能性があります。
- CVE-2020-2754
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を危険にさらすことができます。この脆弱性を利用した攻撃に成功すると、認証されていない攻撃者が、Java SE, Java SE Embedded の部分的なサービス拒否 (部分的な DOS) を引き起こす可能性があります。
注意: Java のクライアントおよびサーバーの配置に適用されます。この脆弱性は,サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを介して悪用される可能性があります。
- CVE-2020-2755
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を危険にさらすことができます。この脆弱性を利用した攻撃に成功すると、認証されていない攻撃者が、Java SE, Java SE Embedded の部分的なサービス拒否 (部分的な DOS) を引き起こす可能性があります。
注意: Java のクライアントおよびサーバーの配置に適用されます。この脆弱性は,サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを介して悪用される可能性があります。
- CVE-2020-2756
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を危険にさらすことができます。この脆弱性を利用した攻撃に成功すると、認証されていない攻撃者が、Java SE, Java SE Embedded の部分的なサービス拒否 (部分的な DOS) を引き起こす可能性があります。
注意: Java のクライアントおよびサーバーの配置に適用されます。この脆弱性は,サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを介して悪用される可能性があります。
- CVE-2020-2757
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を危険にさらすことができます。この脆弱性を利用した攻撃に成功すると、認証されていない攻撃者が、Java SE, Java SE Embedded の部分的なサービス拒否 (部分的な DOS) を引き起こす可能性があります。
注意: Java のクライアントおよびサーバーの配置に適用されます。この脆弱性は,サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを介して悪用される可能性があります。
- CVE-2020-2764
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE を侵害することができます。この脆弱性を利用した攻撃に成功すると、Java SE のアクセス可能なデータの一部に不正な読み取りアクセスが可能になります。
- CVE-2020-2773
この脆弱性により、複数のプロトコルでネットワークにアクセスできる認証されていない攻撃者が、Java SE, Java SE Embedded を危険にさらすことができます。この脆弱性を利用した攻撃に成功すると、認証されていない攻撃者が、Java SE, Java SE Embedded の部分的なサービス拒否 (部分的な DOS) を引き起こす可能性があります。
注意: Java のクライアントおよびサーバーの配置に適用されます。この脆弱性は,サンドボックス化された Java Web Start アプリケーションやサンドボックス化された Java アプレットを介して悪用される可能性があります。
これらの問題は、オンプレミス版の ePO にのみ影響します。
- CVE-2020-7317
5.10.9 Update 9 以前の McAfee ePolicy Orchestrator (ePO) にはクロスサイトスクリプティングの脆弱性があり、syncPointList のパラメータ値が正しくサニタイズされていないため、管理者が任意の Web スクリプトや HTML を注入することができます。
- CVE-2020-7318
5.10.9 Update 9 以前の McAfee ePolicy Orchestrator (ePO) にはクロスサイトスクリプティングの脆弱性があり、管理者の入力が正しくサニタイズされていない複数のパラメーターを介して任意の Web スクリプトや HTML を注入される可能性があります。
この問題を解決するには:
- ePO 5.10をお使いのお客様:ePO 5.10.0 Update 9にアップデートしてください。
- ePO 5.9.1以前のバージョンをお使いのお客様。以下のいずれかを行ってください:
- ePO 5.10.0 Update 9 にアップグレードすると、Java、Tomcat、および XSS の問題が修正されます。
- ePO 5.9.1 にアップグレードし、ePO 5.9.1 Hotfix EPO-919400 を適用すると、Java と Tomcat の問題のみが修正されます。
注意: ePO 5.9.1 Hotfix EPO-919400 は、ePO 5.9.1 に該当する XSS 問題(CVE-2020-7317)に対応していません。この低リスクの問題を修正するには、ePO 5.10 Update 9 にアップグレードしてください。
製品 | バージョン | タイプ | リリース日時 |
ePO | 5.10.0 Update 9 | Update | October 13, 2020 |
ePO | 5.9.1 EPO-919400 | Hotfix | November 10, 2020 |
ダウンロードとインストール方法
McAfee 製品、ドキュメント、アップデート、およびホットフィックスのダウンロード方法については、KB56057 を参照してください。 これらのアップデートをインストールする方法については、「リリースノート」と「インストールガイド」をご覧ください。すべてのドキュメントは、https://docs.trellix.com で公開されています。
Acknowledgments
CWE-2020-7317: McAfee は、この問題を責任を持って公表した Radically Open Security の Frank Plattel 氏に謝意を表します。
CWE-2020-7318: McAfee は、Positive TechnologiesのMikhail
Frequently Asked Questions (FAQs)
使用している McAfee 製品に脆弱性があるかどうかを知るにはどうしたらいいですか?
ePO / サーバー製品の場合:
サーバー型製品の場合は、以下の手順で行ってください。:
- インストールされている ePO のバージョンとビルドを確認します。バージョンを確認する方法については、KB52634 を参照してください。
- 組織内にインストールされている製品のバージョンを調べるクエリを ePO で作成します。
CVSS(Common Vulnerability Scoring System)とは、脆弱性の重要性を評価するシステムを標準化するために、National Infrastructure Advisory Council が策定したものです。CVSSは、脆弱性の重要性を評価するシステムを標準化するために、National Infrastructure Advisory Council'が開発したもので、0から10の間の公平な重要性スコアを提供しています。詳細については、CVSSのウェブサイト https://www.first.org/cvss/ をご覧ください。
CVSSスコアを計算する際、McAfee は一貫性と再現性を高めるための哲学を採用しています。CVSSスコアリングの指針となるのは、対象となるエクスプロイトをそれ自体でスコアリングすることです。対象となるエクスプロイトの即時的かつ直接的な影響のみを考慮します。スコア対象の問題の悪用が成功した場合に可能となる、後続の悪用の可能性はスコアに考慮しません。
CVSS スコアリングメトリクスとは何ですか?
- CVE-2020-7317: ePO クロスサイトスクリプティングの脆弱性
ベーススコア 4.6 Attack Vector (AV) Adjacent Network (A) Attack Complexity (AC) Low (L) Privileges Required (PR) None (N) User Interaction (UI) Required (R) Scope (S) Unchanged (U) Confidentiality (C) Low (L) Integrity (I) Low (L) Availability (A) None (N) 一時的なスコア (全体) 4.2 Exploitability (E) Proof of concept code (P) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
注意: このスコアの生成には、以下の CVSS バージョン 3.1 のベクターが使用されています。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:A/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:P/RL:O/RC:C&version=3.1
- CVE-2020-7318: ePO のクロスサイトスクリプティングの脆弱性
ベーススコア 4.6 Attack Vector (AV) Adjacent Network (A) Attack Complexity (AC) Low (L) Privileges Required (PR) None (N) User Interaction (UI) Required (R) Scope (S) Unchanged (U) Confidentiality (C) Low (L) Integrity (I) Low (L) Availability (A) None (N) 一時的なスコア (全体) 4.2 Exploitability (E) Proof of concept code (P) Remediation Level (RL) Official Fix (O) Report Confidence (RC) Confirmed (C)
注意: このスコアの生成には、以下の CVSS バージョン 3.1 のベクターが使用されています。
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?vector=AV:A/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:P/RL:O/RC:C&version=3.1
すべてのセキュリティ情報は、外部の PSIRT ウェブサイト(https://www.mcafee.com/us/threat-center/product-security-bulletins.aspx)で公開されています。この Web サイトで McAfee Enterprise 製品のセキュリティ速報を見るには、Enterprise Security Bulletins をクリックします。セキュリティ情報は、製品の販売終了およびサポート終了(End of Life)になると、削除されます。
製品の脆弱性を McAfee に報告する方法を教えてください。
McAfee 製品のセキュリティ上の問題や脆弱性に関する情報をお持ちの方は、McAfee PSIRT のウェブサイトで、https://www.mcafee.com/us/threat-center/product-security-bulletins.aspx の説明をご覧ください。問題を報告するには、Report a Security Vulnerabilityをクリックします。
McAfee は、この問題やその他の報告されたセキュリティ上の欠陥にどのように対応していますか?
McAfee は、お客様のセキュリティを最優先に考えています。McAfee のソフトウェアやサービスに脆弱性が発見された場合、関連するセキュリティソフトウェア開発チームと緊密に連携し、修正プログラムやコミュニケーションプランを迅速かつ効果的に開発します。
McAfee は、回避策、緩和策、バージョン更新、ホットフィックスなど、実行可能な内容が含まれる場合にのみセキュリティ速報を発行しています。そうでなければ、McAfee 製品が標的になっていることをハッカーコミュニティに知らせていることになり、お客様をより危険にさらすことになります。自動的に更新される製品の場合は、発見者に謝意を示すために、実行不可能なセキュリティ速報を発行することもあります。
当社のPSIRTポリシーは、https://www.mcafee.com/us/threat-center/product-security-bulletins.aspxの McAfee PSIRT ウェブサイトで PSIRT についてをクリックしてご覧いただけます。
。 リソース
。 テクニカルサポートに連絡するには、ServicePortal にログオンし、https://supportm.trellix.com/ServicePortal/faces/serviceRequests/createSR にあるサービスリクエスト作成ページにアクセスします。
- ユーザー登録されている方は、ユーザーIDとパスワードを入力し、Log In をクリックしてください。
- ユーザー登録がお済みでない方は、Registerをクリックして、必要な項目を入力してください。パスワードとログオン方法が E メールで送信されます。
このセキュリティ情報に記載されている将来の製品リリース日は、当社の一般的な製品の方向性の概要を示すことを目的としており、購入を決定する際にこれに依拠するべきではありません。製品の発売日は情報提供のみを目的としており、いかなる契約にも組み込むことはできません。製品の発売日は、いかなる素材、コード、機能の提供を約束するものではなく、法的義務を負うものでもありません。製品に記載されている機能の開発、リリース、およびタイミングは、当社の独自の裁量に委ねられており、いつでも変更または中止される可能性があります。
言語:
この記事は、次の言語で表示可能です: