公開日:2015/06/05 最終更新日:2015/06/05
JVNVU#98454141
McAfee ePolicy Orchestrator が SSL/TLS 証明書を適切に検証しない脆弱性
McAfee ePolicy Orchestrator には、SSL/TLS 証明書を適切に検証しない脆弱性が存在します。
- McAfee ePolicy Orchestrator 4.6.8 およびそれ以前
- McAfee ePolicy Orchestrator 5.1.1 およびそれ以前
証明書の不適切な検証 (CWE-295) - CVE-2015-2859
McAfee ePolicy Orchestrator (ePO) は、データの収集、集約など様々な目的のために外部サーバと連携する機能をサポートしており、外部サーバとの通信を SSL/TLS を使って暗号化するよう指定することが可能です。ePO は、認証局 (CA)、および証明書のコモンネーム (CN) やドメインネーム (DN) の検証処理に不備があります。結果として、これらの通信は中間者攻撃やスプーフィング攻撃に対して脆弱になります。
攻撃者によって、当該製品と外部サーバ間の HTTPS 通信の内容を閲覧されたり改ざんされたりする可能性があります。
アップデートする
本脆弱性はバージョン 4.6.9 および 5.1.2 で修正されています。
開発者が提供する情報をもとに、最新版へアップデートしてください。
| ベンダ | リンク |
| McAfee | McAfee ePolicy Orchestrator 4.6.9 Software (PDF) |
-
CERT/CC Vulnerability Note VU#264092
McAfee ePolicy Orchestrator fails to properly validate SSL/TLS certificates
2015.06.05における脆弱性分析結果(CVSS Base Metrics)
| 評価尺度 | 評価値 | 説明 | ||
|---|---|---|---|---|
| 攻撃元区分(AV) | ローカル (L) | 隣接 (A) | ネットワーク (N) | 隣接ネットワークから攻撃可能 |
| 攻撃条件の複雑さ(AC) | 高 (H) | 中 (M) | 低 (L) | 攻撃成立に何らかの条件が必要 |
| 攻撃前の認証要否(Au) | 複数 (M) | 単一 (S) | 不要 (N) | 認証は不要 |
| 機密性への影響(C) | なし (N) | 部分的 (P) | 全面的 (C) | 全ての情報が漏えいする |
| 完全性への影響(I) | なし (N) | 部分的 (P) | 全面的 (C) | 情報の正確さや完全さが部分的に損なわれる |
| 可用性への影響(A) | なし (N) | 部分的 (P) | 全面的 (C) | システムの使用は阻害されない |
Base Score:6.4
