VSE8.0の脆弱点(Patch11またはそれ以前)と対処方法
製品 VirusScan Enterprise / McAfee AntiSpyware Enterprise Version 8.0i
OS - 問題番号 VE07052301

1. 概要
対象者:技術・セキュリティ担当者。
脆弱性の影響:オンアクセススキャンのサービス拒否/任意のコードの実行。
重大度:重大。
CVSSレーティング:5.9
推奨される対策:McAfee® VirusScan Enterprise® 8.0iを Patch 12以降にアップデート。
セキュリティ情報の更新:なし。
回避策:なし。
影響を受けるソフトウェア:McAfee® VirusScan Enterprise® 8.0i Patch 11以前。
最新版の入手方法:http://www.mcafee.com/japan/licensed2/

2. 脆弱性の内容
この脆弱性を悪用すると、攻撃者はオンアクセススキャンを異常終了したり、ターゲットマシンで任意のコードを実行したりすることができます。この攻撃に影響を受けるシステムは、ターゲットシステムに東アジアの言語ファイルがインストールされ、デフォルトの Unicodeのコードページが中国語などのマルチバイト文字を含む言語に設定されている環境となります。このようなシステムで、オンアクセススキャナを使って非常に長いファイル名を持つファイルをスキャンすると、オンアクセススキャナが異常な動作を起こします。上記のPatch12以降のアップデートでソフトウェアをアップデートすると、脆弱性は解消されます。

最新のPatch(最新:Patch15、2007/04/17現在)がMcAfeeダウンロードサイトにアップロードされており、ダウンロード可能になっています。修正プログラムはすべて累積であり、Patch 12以降にアップデートすると、この脆弱性に関連するリスクは取り除かれます。

3. 脆弱性の修復方法
概要:
VirusScan Enterprise (VSE) 8.0i Patch 12以降をダウンロードし、Virus Scan Enterprise (VSE) 8.0i Patch 11以前に適用してください。

注:Virus Scan Enterprise 8.0i Patch 12以降でこの脆弱性は修正されていますが、以下の修復手順では、Patch 13を適用する事を前提にしており、ファイル名はVSE80P13.ZIPとなっています。Patch 15を適用する場合、使用するファイル名は VSE80P15.ZIPになります。

パッチバイナリの入手:
McAfeeダウンロードサイト [http://www.mcafee.com/japan/licensed2/]
修正プログラムの適用手順:
警告:
修正プログラムを適用するには、VirusScan Enterprise 8.0iがコンピュータにインストールされている必要があります。

  1. VSEの修正プログラムのファイルをハードドライブのテンポラリフォルダに解凍します。
  2. ステップ1で作成したテンポラリフォルダ内の SETUP.EXEファイルをダブルクリックします。
  3. インストールウィザードの指示に従います。

ePolicy Orchestrator(VSE 8.0i用)の適用手順

  1. ePolicy Orchestrator 3.xコンソールが常駐しているコンピュータで、VSE80P13.ZIPに圧縮されている修正プログラムのファイルとフォルダをハードドライブのテンポラリフォルダに解凍します。
  2. ePolicy Orchestrator 3.xコンソールを開き、ステップ1で作成したテンポラリフォルダのパッケージをリポジトリに追加します。

    パッケージのリポジトリへの追加方法については、ePolicy Orchestrator 3.0製品ガイドの「パッケージのチェックイン」または ePolicy Orchestrator 3.5、3.6製品ガイドの「マスタリポジトリへの PKGCATALOG.Z製品パッケージのチェックイン」を参照してください。この修正プログラムのパッケージタイプは「製品またはアップデート」です。

    次にエージェントアップデートタスクが実行されると、VirusScan Enterpriseのクライアントが修正プログラムを自動的にダウンロードして適用します。

  3. McAfee Anti-Spywareモジュールの NAPファイルがすでにリポジトリに追加されている場合は、ステップ4に進んでください。

    ステップ1で作成したテンポラリフォルダの管理 NAPファイル(VSE800.NAP)をリポジトリに追加します。

    注:
    McAfee Anti-SpywareのモジュールがインストールされているサブフォルダからVSE800.NAPを追加してください。

    管理したい新しいソフトウェアをリポジトリに追加する方法については、ePolicy Orchestratorの説明書を参照してください。

  4. ステップ1で作成したテンポラリフォルダのレポーティングNAPファイル(VSE800REPORTS.NAP)をリポジトリに追加します。
    1. ePolicy Orchestratorコンソールで「NAPのチェックイン」ウィザードを使って、VSE800Reports.NAPファイルを追加します。
    2. レポーティングコンソールにログオンしている場合は、ログオフします。
    3. ePolicy Orchestratorのインストールディレクトリで以下の削除を行います。
      - AVIディレクトリのREPORTVERSIONS.SQLファイル。ePolicy Orchestratorコンソールを実行しているすべてのシステムが対象です。
    4. ePolicy Orchestratorサーバサービス、ePolicy Orchestratorイベントパーササービスを終了します。
    5. ステップdで終了した2つのサービスを再起動します。
    6. ePolicy Orchestrator認証を使って、レポーティングコンソールにログオンします。
    7. ePolicy Orchestratorコンソール、レポーティングコンソールにログオンし、VirusScan 8.0レポートを表示します。

Anti-Spyware Enterpriseモジュールがインストールされている場合の追加手順

注: Common Management Agentバージョン3.5.5 Patch 1以降が適用されている場合、以下の手順は不要です。

  1. ePolicy Orchestrator 3.xコンソールが常駐しているコンピュータで、VSE80P13.ZIPに圧縮されている MASE80HF273746フォルダをハードドライブのテンポラリフォルダに解凍します。
  2. ePolicy Orchestrator 3.xコンソールを開き、ステップ1で作成したテンポラリフォルダのパッケージをリポジトリに追加します。

修正プログラムの適用の確認手順:
修正プログラムがきちんと適用されているかどうか確認する前に、必ず再起動を行ってください。

注:
Patch 10以降の修正プログラムでは、適用中にエラーが発生した場合、あるいはファイルが正常に適用されなかった場合、修正プログラムが適用されたことを示すメッセージの表示、レポートの作成は行われません。

  1. VirusScanコンソールを開き、「ヘルプ」メニューから「バージョン情報」を選択します。「VirusScan Enterpriseのバージョン情報」ウィンドウの「パッチのバージョン」に「13」が表示されています。

    ePolicy Orchestrator、Protection Pilotエージェントでプロパティ情報を収集すると、クライアントシステムに「Hotfix」バージョンとしてPatch 13が適用されたことが表示されます。「HotfixVersions」という値が表示された場合、この値は一時的であり、クライアントからすべてのプロパティ情報が収集されると、削除されます。

  2. 各ファイルのバージョン番号を確認して、ファイルがきちんと適用されていることを確認します。 ファイルのバージョンは上記の「FILES INCLUDED WITH THIS RELEASE」に記載されているリストに一致していなければなりません。

4. 謝意
iDefense Labs

5. サポート
本件に関する技術的なお問い合わせは弊社サポートセンターまでご連絡ください。

6. 本セキュリティ情報に関するよくあるご質問(FAQ)

Q. このセキュリティの脆弱性を影響を受けるユーザは?
A. McAfee VirusScan Enterprise 8.0iをインストールし、Patch 11以前を適用している企業ユーザです。最新のアップデートの受信のご確認をお願いします。

Q. この脆弱性によるマカフィーのエンタープライズ製品への影響は?
A. McAfee VirusScan Enterprise 8.0i Patch 11以前が影響を受けます。

Q. VSEがアップデートされているかどうか確認する方法は?
A. VirusScanコンソールを開き、「ヘルプ」メニューから「バージョン情報」を選択します。「VirusScan Enterpriseのバージョン情報」ウィンドウの「パッチのバージョン」に「12」以降が表示されています。

また、ePolicy Orchestrator、Protection Pilotエージェントでプロパティ情報を収集した後、McAfee ePolicy Orchestratorでも確認でき、クライアントシステムに「Hotfix」バージョンとして Patch 12以降が適用されたことが表示されます。「HotfixVersions」という値が表示された場合、この値は一時的であり、クライアントからすべてのプロパティ情報が収集されると、削除されます。

Q. OSに東アジア言語がインストールされているかどうか確認する方法は?
A. Windows XPの場合、コントロールパネルの「地域と言語のオプション」を開いてください。「言語」タブの「補足言語サポート」の下にある、「東アジア言語のファイルをインストールする」チェックボックスを確認してください。チェックボックスにチェックが付いている場合は、東アジア言語がインストールされています。

Q. OSで使用されているアクティブなコードページを確認する方法は?
A. スタートメニューで「ファイル名を指定して実行」をクリックし、「cmd」と入力して「OK」をクリックします。コマンドプロンプトで「chcp」と入力し、Enterキーを押します。アクティブなコードページが表示されます。
ダブルバイトのコードページは以下の通りです。
932(日本語Shift-JIS)
936(簡体字中国語GBK)
949(韓国語)
950(繁体字中国語Big5)

Q. CVSSとは?
A. CVSS(Common Vulnerability Scoring System: 共通脆弱性評価システム)とは、脆弱性の深刻度を査定するシステムを標準化するため、米国家インフラストラクチャ諮問委員会(National Infrastructure Advisory Council)によって策定されました。このシステムでは、利用者が脆弱性の深刻度を判断し、それに従って計画を立てることができる、公平な深刻度が提供されています。詳細は CVSSの Webサイト(http://www.first.org/cvss/)をご覧ください。

Q. 使用されている CVSSのスコアリング指標は?
A.
基本スコア 8
アクセス手段 リモート
アクセスの複雑度 高
認証 不要
機密性への影響 100%
整合性への影響 100%
可用性への影響 100%
影響の偏り 通常
修正後の一時スコア 5.9
脆弱性の利用 未確認
修復レベル 正式に修正
レポートの信頼性 確認済み

この問題を解決するためにマカフィーが行ったことは?マカフィーは最も安全性の高いソフトウェアをお客様に提供することを信条としており、すでにこのセキュリティ欠陥を修正したアップデートを提供しています。

Q. 修正プログラムのダウンロード場所は?
A. 修正プログラムは以下からダウンロードできます。 http://www.mcafee.com/japan/licensed2/ ダウンロードを開始するには、承認番号及び製品コードが必要です。

本件を含むセキュリティ欠陥へのマカフィーの対応は?マカフィーは、お客様のセキュリティに最優先で取り組んでいます。マカフィーのソフトウェアに脆弱性が発見された場合は、確立された手順に従い関連セキュリティ研究グループと密接に協力して、修正とコミュニケーションプランの迅速かつ効果的な配備を徹底します。マカフィーは、ソフトウェアの脆弱性の報告と修正のためのガイドラインとベストプラクティスの開発を専門とする OIS(Organization for Internet Safety)のメンバーとして積極的に活動しています。

7.特記事項
本セキュリティ情報で提供されている情報は、いかなる保証なしに、「そのまま」の形で提供されています。マカフィーは、市販性、特定目的との適合性を含む、明示または暗示の保証をすべて放棄します。たとえマカフィーまたはマカフィー製品の供給会社が損害の可能性について忠告を受けていたとしても、直接的、間接的、付随的、結果的損害、営業利益の損失、特別損害を含むあらゆる損害に対し、マカフィーまたはマカフィー製品の供給会社は一切の責任を負わないものとします。なお、結果的、付随的損害の責任の放棄または制限が認められていない国については、上記の制限は適用されません。

掲載日 2007/05/23

製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間