[関連する(影響を受ける)製品]
ePolicy Orchestrator (ePO)
[概要]
ePolicy Orchestrator(ePO) の複数の脆弱性が発見され、解決されました。
[影響を受けるバージョン]
ePO 5.10 SP1 Update1、またはそれより前のePO 5.10
[影響度]
・CVE-2023-5444 (CVSS: 7.8; 重大度: 高) CWE-352: クロスサイト リクエスト フォージェリ
・CVE-2023-5445 (CVSS: 5.0; 重大度: 中) CWE-601: 信頼できないサイトへの URL リダイレクト
・Tomcat - Tomcat のバージョンは 9.0.82 に更新されました。
・JRE - Java は最新の2023年7月のJava 更新プログラム (1.8.0_381) に更新されました。
[修正バージョン]
ePO 5.10 SP1 Update2 以降
[回避策]
Trellix ePO 5.10.0 SP1 Update2より前のバージョンを利用している場合には、ePO 5.10.0 SP1 Update2以降にアップデートしてください。
Trellix ePO 5.10.0 SP1 Update2の変更内容は、下記のRelease Noteを参照ください。
https://docs.trellix.com/bundle/trellix-epolicy-orchestrator-on-prem-5.10.0-release-notes/page/GUID-7DAAACA7-0D94-40D5-AA94-D8447BD4743B.html
推奨:
すべてのお客様が最新の更新を適用していることを確認するように推奨します。
影響を受けるユーザーは、関連する更新プログラム、または修正プログラムをインストールする
必要があります。
詳細な手順と情報については、Knowledge Base 記事SB10410を参照してください。
https://kcm.trellix.com/agent/index?page=content&id=SB10410
[Trellix KB情報]
SB10410:Security Bulletin - ePolicy Orchestrator SP1 CU2 addresses two product vulnerabilities (CVE-2023-5445, CVE-2023-5444) and upgrades Tomcat and JRE
更新日:2023/11/17