マカフィーセキュリティ情報 – McAfee Agent 4.5, 4.6 拡張ファイルでのSQLインジェクションについて
製品 Common Management Agent および McAfee Agent Version 4.5, 4.6
OS n/a 問題番号 MA13050801
概要:
このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の種類: root ユーザーとしてのリモートからのコード実行
CVE 番号: CVE-2013-0140
US CERT 番号: VU #209131
重大度:
CVSSスコア: 6.2
推奨する対策: 脆弱性対応済み拡張ファイルのインストール
セキュリティ情報の修正: None
備考: None
影響を受ける製品: ePO チェックイン用 McAfee Agent 4.5 – 4.6 拡張ファイル(全てのPatchバージョン)
最新のソフトウェア入手: http://www.mcafee.com/us/downloads
詳細:

ePolicy Orchestrator(ePO)サーバでのUn-authorized modification と Denial of Service(DoS)が実行可能となります。
これはSB10042で報告された脆弱性と同じ内容ですが、McAfee Agent(MA) 拡張ファイルに影響します。

CVE-2013-0140 - RCE McAfee ePO and RCE on Managed Stations
この脆弱性は、ePOサーバー側のエージェントハンドラコンポーネントにおける認証前に実行可能となるSQLインジェクション (エージェント - サーバ 間通信チャネル)です。もしこの脆弱性が利用された場合、リモートからコードが実行される(RCE) 恐れがあります。攻撃はePOサーバへ不正なエージェントを登録し、ePOサーバへ細工されたリクエストを送信することに よって行われ、これにより攻撃者はリモートからSYSTEM権限でコードを実行することができるようになります。

CVE-2013-0140
VESVM-2013-001 - RCE McAfee ePO and RCE on Managed Stations
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0140

この問題は2013年03月25日にリリースされたMA 4.8.0で解決されています。

解決策:

MA 4.8 拡張ファイルを適用する前に、現在サポートバージョンとなっている拡張ファイルを予め適用ください。

注意: MA 4.8 の拡張ファイルは MA 4.5 や 4.6と下位互換性があります。 MA 4.8 拡張へのアップグレードが難しい お客様につきましては、MA 4.6 でのHotfixを準備中です。※MA 4.7 はありません

製品 タイプ ファイル名 / 情報 リリース日
MA 4.5 拡張ファイル MA 4.8 拡張ファイル MA 4.8 拡張ファイル 2013年03月25日
MA 4.6 拡張ファイル MA 4.6 拡張ファイル MA 4.6 Patch 3 Hotfix (拡張ファイル) 2013年07月02日
MA 4.8 拡張ファイル MA 4.8 拡張ファイル EPOAGENTMETA.zip 2013年03月25日

拡張ファイルの入手方法

以下ダウンロードページにログインします。
■企業ユーザー向けライセンス版ダウンロード
http://www.mcafee.com/japan/licensed2/
(承認番号と製品コードの入力を求められますので、予めご用意ください。)

確認:

この問題はGotham Digital Science社のSasha Zivojinovic氏よってマカフィーへ報告されました。

このセキュリティ速報に関する FAQ(よくある質問):

  1. どのマカフィー製品が、この脆弱性による影響を受けますか?

    影響あり
    MA 4.5 Patch なし - Patch 3
    MA 4.6 Patch なし - Patch 3

    影響なし
    MA 4.8 以降

  2. このHotfixは何の問題に対処されるものですか?
    CVE-2013-0140 - VESVM-2013-001 - RCE McAfee ePO and RCE on Managed Stations
  3. この脆弱性は、マカフィーエンタープライズ製品に影響を及ぼしますか?
    はい、MA拡張ファイルはマカフィーエンタープライズ製品です。その脆弱性はePOサーバ上でのみ影響を及ぼします。
  4. 私のマカフィー製品が脆弱であるかどうかはどのように知ることができますか?
    ePOコンソールより、チェックインされている拡張バージョンを確認することができます:

    -1. [メニュー] → [ソフトウェア] → [拡張]を開く。
    -2. 左ペインから ”McAfee Agent” をクリックして選択し、インストールされている拡張ファイルのバージョンを表示します。

    拡張ファイルバージョン一覧リストはこちら(英語)

    Version information for McAfee Agent 4.5
    https://kc.mcafee.com/corporate/index?page=content&id=KB68472

    McAfee Agent 4.6 version information
    https://kc.mcafee.com/corporate/index?page=content&id=KB72221

    Version information for McAfee Agent 4.8
    https://kc.mcafee.com/corporate/index?page=content&id=KB77534

  5. CVSSとは何ですか?
    CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための
    システムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを
    判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
    http://www.first.org/cvss/
  6. 使用されるCVSSスコアリングメトリクスは何ですか?

    VESVM-2013-001 - RCE McAfee ePO and RCE on managed Stations
    Base Score 7.9
     Related exploit range (AccessVector) Adjacent Network
     Attack complexity (AccessComplexity) Medium
     Level of authentication needed (Authentication) None
     Confidentiality impact Complete
     Integrity impact Complete
     Availability impact Complete
     Temporal Score 6.2
     Availability of exploit (Exploitability) Proof of concept code
     Type of fix available (RemediationLevel) Official fix
     Level of verification that vulnerability exists (ReportConfidence) Confirmed

    ※このスコアを生成するためCVSS2.0が使用されました。
    http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:A/AC:M/Au:N/C:C/I:C/A:C/E:P/RL:O/RC:C)

  7. マカフィーは、問題を解決するために何をしましたか?
    この問題は2013年03月25日にリリースされたMA 4.8.0で解決されています。
  8. 修正プログラムはどこでダウンロードすればいいですか?
    以下ダウンロードページにログインします。
    ■企業ユーザー向けライセンス版ダウンロード
    http://www.mcafee.com/japan/licensed2/
    (承認番号と製品コードの入力を求められますので、予めご用意ください。)
  9. この問題を解決するためにマカフィーが実施した対策は何ですか?
    マカフィーは、最も安全なソフトウェアをお客様に提供することを信条とし、このセキュリティ欠陥を修正するアップデートを提供しています。

掲載日 2013/05/08
更新日 2013/07/03

製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間