BIND の脆弱性 (CVE-2013-4854) 対応について
製品 Email Gateway Version N/A
OS N/A 問題番号 MEG13080801
概要:
このドキュメントの対象者: 技術・セキュリティ担当者
脆弱性の種類: サービス拒否攻撃 (DoS)
CVE 番号: CVE-2013-4854
US CERT 番号: なし
重大度: 中 (Medium)
CVSSスコア: 6.4
推奨する対策: [緩和策] 項目参照
セキュリティ情報の修正: なし
備考: なし
影響を受ける製品:
  • Email and Web Security Appliance (以下EWS) 5.6
  • McAfee Email Gateway (以下MEG) 7.0/7.5
  • McAfee Web Gateway (以下MWG) 7.3.2
  • McAfee Firewall Enterprise (以下MFE) 8.2.1/8.3.1
詳細:

CVE-2013-4854 は ISC BIND の脆弱性についての記載です。不正な RDATA を含む特別に細工されたクエリによって、 named1 が異常終了します。

対象となるマカフィー製品は BIND サーバー (named) をローカルのキャッシュ DNS サーバーとして使用し、リモートの DNS クエリ回数を減らし、パフォーマンスの向上を図っています。デフォルトでは、これらの製品はリモートからの DNS クエリをリッスンしません。McAfee Firewall Enterprise (MFE) はリモートのクエリに対して応答するオプションがあります。

ローカルの BIND サーバーが不正なクエリを受け取った場合、対象製品は故障時閉動作 (fail closed) をするため、アプライアンスは、通常は許可しないように設定されているトラフィックが通過してしまう状態には維持されません。BIND サーバーが予期せずストップ (クラッシュ) した場合、アプライアンスは BIND サービスを再起動し、通常の動作を続けます。

製品の特性、 BIND の使用され方、故障時閉動作のアーキテクチャにより、 BIND の脆弱性がアプライアンスの正常動作を妨げるリスクは非常に小さいです。CVSS 環境のスコアを計算する場合は、McAfee アプライアンスの設計も要素としてください。

より詳細な情報は下記を参照ください。
CVE-2013-4854 – Vulnerability in ISC BIND
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4854

下記のテーブルを参照し、影響する製品のリリーススケジュールを確認してください。

注意: named は DNS クエリに応答するBIND daemon プロセスです。

緩和策:

この脆弱性は以下のリリースで対応します。

Product Patch Name Type Status
EWS 5.6 Patch 7 5.6.7 Patch 未定
MEG 7.0.4 7.0.4 Patch 2013年10月を予定
MEG 7.5.1 7.5.1 Patch 2013年9月上旬を予定
MFE 8.2.1 8.2.1E100 ePatch サポートに確認ください。
MFE 8.3.0 8.3.0E24 ePatch サポートに確認ください。
MFE 8.3.1 8.3.1P02 Hotfix 2013年7月30日リリース済み
MWG 7.3.2 7.3.2.2  Patch 2013年7月30日リリース済み
回避策;

回避策はありません。

確認:

この脆弱性は MITRE Corporation のCVE-2013-4854 により最初に公開されました。

よくある質問:

これらの脆弱性の対象となる製品は?

EWS、MFE、MEG と MWG が対象となります。

CVSSとは何ですか?

CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するためのシステムを標準化するために策定されました。このシステムによって算出されたスコアにより、脆弱性がいかに重要かを判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。
http://www.first.org/cvss/

使用されるCVSSスコアリングメトリクスは何ですか?

CVE-2013-4786

 Base Score 7.8
 Related exploit range (AccessVector) Network
 Attack complexity (AccessComplexity) Low
 Level of authentication needed (Authentication) None
 Confidentiality impact None
 Integrity impact None
 Availability impact Complete
 Temporal Score 6.4
 Availability of exploit (Exploitability) Functional exploit exists
 Type of fix available (RemediationLevel) Official fix
 Level of verification that vulnerability exists (ReportConfidence) Confirmed

注意: このスコアを生成するためCVSS2.0が使用されました。
http://nvd.nist.gov/cvss.cfm?name=CVE-2013-4786&vector=(AV:N/AC:L/Au:N/C:C/I:N/A:N)&version=2        

マカフィーは、問題を解決するために何をしましたか?
このセキュリティフローに沿って修正をリリースします。

この問題を解決するためにマカフィーが実施した対策は何ですか?
マカフィーの最優先事項はお客様の安全を守ることです。マカフィーソフトウェアで確認された脆弱性に対して、私たちは適切なセキュリティの研究グループと共同し、迅速な確認、有効な修正の開発、情報伝達のプランを検討します。マカフィーはソフトウェアの脆弱性修正とレポートに対する開発ガイドラインとベストプラクティスの専任する、Organization for Internet Safety (OIS) の一員です。

マカフィーは製品の脆弱性の告示を、ハッカーコミュニティが製品を狙うことでお客様のリスクを増加させることが無いように、実施可能な回避策やパッチや Hotfix と合わせてのみ発表します。

Disclaimer

The information provided in this security bulletin is provided as is without warranty of any kind. McAfee disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall McAfee or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits or special damages, even if McAfee or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.

掲載日 2013/08/08
更新日 2013/09/03

製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間