ePO 4.6.6 以前のバージョンで確認された複数の脆弱性について
製品 Common Management Agent および McAfee Agent
OS N/A 問題番号 MA13071601
環境:

McAfee ePolicy Orchestrator 4.6 (Patchなし ~ Patch 6)
McAfee Agent 4.5, 4.6 拡張ファイル (Patchなし、および全てのPatchバージョン)

概要:

2013年6月12日にマカフィーはNATOインフォメーション・アシュアランス・テクニカル・センター (NIATC) からペネトレーション
テスト(侵入テスト) の結果として、いくつかの脆弱性に関する報告を受け取りました。

下記はそのイベントスケジュールです:

2013年6月12日 NIATCからの報告を受け、マカフィーでの調査を開始
2013年7月10日 SustainingステートメントをNIATCへ連絡
2013年7月12日 これらの問題をBUGTRAQ上で公表
2013年7月15日 これらの脆弱性がそれぞれ、折り返し型のクロスサイト・スクリプティング (Reflected XSS) の問題、および EP13050801 で解決されたSQLインジェクションの問題であることを確認 (Reflected XSSのCVSSスコアは2.0)
2013年7月15日 これらの脆弱性に関する情報をFAQで公開
問題:
  1. Bugtraq 527228 - NCIRC-2013127-01 - ePO 4.6.6 以前のバージョンで確認された複数の脆弱性

    http://www.securityfocus.com/archive/1/527228 (英語)
    http://seclists.org/bugtraq/2013/Jul/80 (英語)

    注意: 認証されたePO管理者/ユーザのみ、これらの脆弱性を衝く試みができるようになります。

    1. タイミングベースでのSQLインジェクション
      下記 .doファイル でのタイミングベースSQLインジェクション:

      /core/showRegisteredTypeDetails.do

      CVSS Score:  6.6

      注意: このスコアを生成するためにCVSS2.0が使用されました。
      http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:A/AC:L/Au:M/C:C/I:P/A:C/E:F/RL:U/RC:C)
       
    2. /EPOAGENTMETA/DisplayMSAPropsDetail.do

      CVSS Score: 7.0

      注意: このスコアを生成するためにCVSS2.0が使用されました。
      http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:A/AC:L/Au:M/C:C/I:P/A:C/E:F/RL:U/RC:C)

    上記2つのSQLインジェクションは2013年5月8日に発見され、すでに対応されたMcAfee Agent 拡張ファイルのHotfixがリリースされています。詳細につきましてはEP13050801を参照ください。

  2. 折り返し型のクロスサイト・スクリプティング (Reflected XSS)

    下記 .doファイルでのクロスサイト・スクリプティング:
    /core/loadDisplayType.do
    /console/createDashboardContainer.do
    /console/createDashboardContainer.do
    /ComputerMgmt/sysDetPanelBoolPie.do
    /ComputerMgmt/sysDetPanelQry.do
    /ComputerMgmt/sysDetPanelQry.do
    /ComputerMgmt/sysDetPanelSummary.do
    /ComputerMgmt/sysDetPanelSummary.do


    CVSS Score: 2.0

    注意: このスコアを生成するためにCVSS2.0が使用されました。
    http://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:A/AC:L/Au:M/C:P/I:N/A:N/E:P/RL:U/RC:C)
解決方法:

問題1. SQLインジェクションにつきまして
問題を解決するMcAfee Agent 拡張ファイルのHotfixがリリースされています。詳細につきましてはEP13050801を参照ください。

問題2.  Reflected XSSにつきまして
ePO4.6.7 (Patch 7) にて対応予定です。Patch 7は 2013年Q4 (10月-12月期) 後半のリリース予定※となっています。

※アップデートがあり次第、本FAQにて情報を更新します。

謝辞:

これらの問題はNATO Information Assurance Technical Centre (NIATC) の Nuri Fattah氏によってマカフィーへ報告されました。

掲載日 2013/07/16
更新日 2013/11/14

製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間