こちらは、McAfee社より通達された重要情報となります。
[関連する(影響を受ける)製品]
ePolicy Orchestrator (ePO)
[概要]
ePolicy Orchestrator(ePO) の複数の脆弱性が発見され、解決されました。
[影響を受けるバージョン]
ePO 5.10 Update 14より前のePO 5.10
[影響度]
・CVE-2022-3338 (CVSS: 5.4; 重大度: 中) CWE-611: XML 外部エンティティ参照の不適切な制限
・CVE-2022-3339 (CVSS: 5.4; 重大度: 中) CWE-79: ウェブページ生成時の入力の不適切な中和
(「クロスサイトスクリプティング」)
・Java CVE - Java は最新の 2022 年 7 月の Java 更新プログラム (1.8.0_345) に更新されました。
参考: Java セキュリティ アドバイザリ
・Apache HTTP Server CVEs - Apache HTTP Server は 2.4.54 に更新されました。
Apache セキュリティ アドバイザリ
ePOに影響を与えないその他のApache HTTP Server CVEについては、 KB94982 - Apache CVE の
ePolicy Orchestrator ドキュメント を参照してください。
・OpenSSL CVEs - OpenSSL は、最新のビルド 1.0.2zf に更新されました。 弊社は OpenSSL のメンテナ
とサポート契約を結んでおり、1.0.2 のセキュリティアップデートを受け取っています。
OpenSSL セキュリティ アドバイザリ
[修正バージョン]
ePO 5.10 Update 14 以降
[回避策]
McAfee ePO 5.10.0 Update 14より前のバージョンを利用している場合には、McAfee ePO 5.10.0 Update 14以降にアップデートしてください。
McAfee ePO 5.10.0 Update 14の変更内容は、下記のRelease Noteを参照ください。
https://docs.trellix.com/ja-JP/bundle/epolicy-orchestrator-5.10.0-release-notes/page/GUID-56A1A555-6566-4280-A290-90B31227F204.html
推奨:
McAfee では、すべてのお客様が最新の更新を適用していることを確認するように推奨します。
影響を受けるユーザーは、関連する更新プログラム、または修正プログラムをインストールする
必要があります。
詳細な手順と情報については、Knowledge Base 記事SB10387を参照してください。
https://kcm.trellix.com/corporate/index?page=content&id=SB10387
[McAfee KB情報]
SB10387:Security Bulletin - ePolicy Orchestrator update addresses two product vulnerabilities (CVE-2022-3338, CVE-2022-3339) and updates Java, Apache HTTP Server, and OpenSSL
更新日:2022/10/13