2022年10月11日(US時間)に、McAfee ePolicy Orchestrator 5.10.0 Update 14 がリリースされました。
バージョン:5.10.0 Update 14
新機能または変更された機能:
・リブランディングに伴う変更 – ユーザーインターフェースにTrellixのロゴと著作権情報を
追加しました。
・システム ツリー グループの自動展開の有効化と無効化 - システムツリー構造のカスタマイズを
サポートするために、新しいオプションが導入されました。
・サードパーティライブラリをアップグレードして、セキュリティを強化しました。
・製品カタログ URL の編集可能フィールド。
・この更新には、Java、Apache、および Tomcat ライブラリに対する多くの修正と更新が含まれます。
・Upgraded Apache version to 2.4.54
・Upgraded Tomcat version to 9.0.64
・Upgraded Open SSL version to 1.0.2zf-fips
・Upgraded Java version to 1.8.0_341
影響:
ePOで複数の脆弱性が発見され、ePO 5.10.0 Update 14で修正されています。
・CVE-2022-3338 (CVSS: 5.4; Severity: Medium) CWE-611:
Improper Restriction of XML External Entity Reference.
・CVE-2022-3339 (CVSS: 5.4; Severity: Medium) CWE-79:
Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting').
・Java CVEs - Java has been updated to the latest July 2022 Java update (1.8.0_345)
Reference: Java Security Advisory
・Apache HTTP Server CVEs - Apache HTTP Server has been updated to 2.4.54.
Apache Security Advisory
For other Apache HTTP Server CVEs that don't impact ePO, see KB94982 - ePolicy Orchestrator documentation for Apache CVEs.
・OpenSSL CVEs - OpenSSL has been updated to the latest build 1.0.2zf. We have a support agreement with the maintainers of OpenSSL and receive security updates on 1.0.2. OpenSSL Security Advisory
推奨:
影響を受けるユーザーは、関連する更新プログラム、または修正プログラムをインストールする必要があります。 詳細な手順と情報については、ナレッジ ベースの記事を参照してください。
Security Bulletin - ePolicy Orchestrator update addresses two product vulnerabilities (CVE-2022-3338, CVE-2022-3339) and updates Java, Apache HTTP Server, and OpenSSL
https://kcm.trellix.com/corporate/index?page=content&id=SB10387
詳細については、下記リリースノートを参照ください。
[McAfee ePolicy Orchestrator 5.10 Update 14 リリース ノート]
https://docs.trellix.com/ja-JP/bundle/epolicy-orchestrator-5.10.0-release-notes/page/GUID-56A1A555-6566-4280-A290-90B31227F204.html
重要:
・McAfee ePO 5.10.x Update 14 に更新する前に、必ず SHA-1 から SHA-2 に移行してください。
・移行方法については、KB87017 を参照してください。
・ワークフローとプロセスによる ePO 証明書の移行の概要については、KB91288 を参照してください。
・エージェントとサーバー間の通信の問題の詳細については、KB95019 を参照してください。
・製品拡張互換性リスト (PCL) :ePO 5.10.0 Update 14 で製品拡張とサポートされる最小バージョンに
関する情報を提供します。最新の PCL ファイルを手動でアップロードする必要があります。
手順については、PCL ファイルのアップロードを参照してください。
・管理対象製品の拡張機能のサポートされている最小バージョンをチェックインしてください。
詳細については、KB94079 を参照してください。
[Supported Platforms for ePolicy Orchestrator ]
https://kcm.trellix.com/corporate/index?page=content&id=KB51569
更新日:2022/10/12