【対象製品】
McAfee Email Gateway 7.0
McAfee Email and Web Security 5.5/5.6
【問題の詳細】
McAfee Email and Web Security 5.5/5.6 (EWS) および McAfee Email Gateway 7.0 (MEG) において脆弱性が確認されました。
これらの脆弱性に対しての Hotfix がリリースされています。ご利用のソフトウェアに対応した Hotfix を適用ください。
EWS 5.5/5.6 および MEG 7.0 は適切に構成されたファイアウォール (F/W) の内側で使用する必要があり、外部からGUIへアクセスできないよう正しく構成されている場合には、外部から攻撃される危険性はありません。
ただし MEG 7.0 をご利用の場合、以下の2つの状況ともに当てはまる場合においては、インターネット側から攻撃を受けるリスクがあります。
- Secure Web Delivery (SWD) の Secure Web Client 機能を有効にしている場合
- インターネット側から SWD へのアクセスを許可するようにファイアウォールを構成している場合
【脆弱性に関する詳細】
- Authentication bypass
リモートの攻撃者が認証をバイパスし、管理者 (Admin) ユーザーの有効なセッション ID を得ることができます。管理者ユーザー権限を持った攻撃者はアプライアンスをコントロールすることができます。
- Directory traversal
偽装された URL を用いて、MEG 7.0 が実行されているシステム上の任意のファイルをダウンロードすることができます。ユーザーはファイルをダウンロードするためにログインは必要ありません。またファイルはどのユーザーでログインしても、root ユーザーのように公開することができます。
- Reflected cross-site scripting (XSS)
EWS 5.5/5.6 と MEG 7.0 では攻撃者が反射型 (Reflective) XSS を引き起こし、セッション トークンを取得することで、認証後のコンテンツにアクセスされる可能性があります。また、任意の Java Script を管理者のブラウザコンテキストとMcAfee Security Appliance Management コンソール / ダッシュボード内で実行することができます。
【解決策】
以下に記載の Hotfix を適用することで脆弱性を修正することができます。 Hotfix は弊社ダウンロードサイトよりダウンロード可能です。
| プラットフォーム |
ファイル名 |
Hotfix 適用に必要なパッチ/バージョン |
| MEG 7.0 |
MEG-7.0h759601-2151.119.zip |
MEG 7.0.1 (Patch 1) |
| EWS 5.6 |
EWS-5.6h759921-2143.116.zip |
EWS 5.6 Patch 3 |
| EWS 5.5 |
EWS-5.5h759991-2146.112.zip |
EWS 5.5 Patch 6 |
※ McAfee Email Gateway 6.7.x は本脆弱性は関連いたしません。
ファイルをダウンロードし、以下の Q&A ページに従って、Hotfix を適用ください。
<EWS 5.5/5.6 パッケージ (Patch等) インストール手順>
http://www.mcafee.com/japan/pqa/aMcAfeeEws55.asp?ancQno=EW511062101&ancProd=McAfeeEws55
<MEG 7.0 パッケージ (Patch等) インストール手順>
http://www.mcafee.com/japan/pqa/answer.asp?ancQno=MEG12031902&ancProd=MEG
掲載日 2012/05/09
