[関連する製品]
McAfee ePolicy Orchestrator(ePO)
[環境]
[製品バージョン] ePO 5.9.0・ePO 5.9.1・ePO 5.10.0
[OS] 全てのWindows OS
[Q]
ePOでは、CVE-2020-2604などの脆弱性に影響しますか?
[A]
ePO 5.9.0・ePO 5.9.1・ePO 5.10.0では、脆弱性の影響を受けます。
修正バージョンにて、以下の脆弱性に対応しています。
・CVE-2020-2604 (CVSS: 8.1; 重要度: 高) 悪用が難しい脆弱性により、認証されていない攻撃者が複数の
プロトコルを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。この脆弱性
の攻撃を成功させると、Java SE をのっとることが出来る可能性があります。
・CVE-2019-2949 (CVSS: 6.8; 重要度: 中) 悪用が難しい脆弱性により、認証されていない攻撃者が
Kerberosを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
脆弱性が、Java SE に存在する限り、攻撃者は追加製品に大きな影響を与える可能性があります。
この脆弱性を成功させると、重要なデータまたは Java SE がアクセス可能なデータへの完全な
アクセスをもたらします。
・CVE-2019-2989 (CVSS: 6.8; 重要度: 中) 悪用が難しい脆弱性により、認証されていない攻撃者が複数の
プロトコルを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
脆弱性が、Java SE に存在する限り、攻撃者は追加製品に大きな影響を与える可能性があります。
この脆弱性を成功させると、重要なデータまたは Java SE がアクセス可能なデータへの認証されて
いない作成、削除、変更を可能にさせます。
・CVE-2019-2975 (CVSS: 4.8; 重要度: 中) 悪用が難しい脆弱性により、認証されていない攻撃者が複数の
プロトコルを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
この脆弱性を成功させると、重要なデータまたは Java SE がアクセス可能なデータへの認証されてい
ないアップデート、挿入、削除を可能にさせ、承認されていない権限がDoS攻撃を引き起こします。
・CVE-2020-2593 (CVSS: 4.8; 重要度: 中) 悪用が難しい脆弱性により、認証されていない攻撃者が複数の
プロトコルを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
この脆弱性を成功させると、重要なデータまたは Java SE がアクセス可能なデータへの認証されてい
ないアップデート、挿入、削除を可能にさせ、承認されていない読み取り権限が Java SE の サブセッ
トへ与えられます。
・CVE-2019-2894 (CVSS: 3.7; 重要度: 低) 悪用が難しい脆弱性により、認証されていない攻撃者が複数の
プロトコルを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
この脆弱性を成功させると、承認されていない読み取り権限が Java SE の サブセットへ与えられ
ます。
・CVE-2020-2654 (CVSS: 3.7; 重要度: 低) 悪用が難しい脆弱性により、認証されていない攻撃者が複数の
プロトコルを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
この脆弱性を成功させると、承認されていない読み取り権限が DoS攻撃をもたらします。
・CVE-2020-2590 (CVSS: 3.7; 重要度: 低) 悪用が難しい脆弱性により、認証されていない攻撃者が
Kerberosを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
この脆弱性を成功させると、重要なデータまたは Java SE がアクセス可能ないくつかのデータへの
認証されていないアップデート、挿入、削除を可能にさせます。
・CVE-2020-2583 (CVSS: 3.7; 重要度: 低) 悪用が難しい脆弱性により、認証されていない攻撃者が複数の
プロトコルを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
この脆弱性を成功させると、承認されていない読み取り権限が DoS攻撃をもたらします。
・CVE-2019-2933 (CVSS: 3.1; 重要度: 低) 悪用が難しい脆弱性により、認証されていない攻撃者が複数の
プロトコルを使用してネットワークにアクセスし、Java SEを改竄する可能性があります。
この脆弱性の成功には、攻撃者以外の人の対話的操作が必要です。この脆弱性を成功させると、
承認されていない読み取り権限が Java SE の サブセットへ与えられます。
[修正バージョン]
ePO 5.10.0 Update 7
ePO 5.9.1 Hotfix EPO-HF87900_591
[McAfee KB情報]
SB10315:Javaの脆弱性に対応するためのePolicy Orchestrator製品の更新
(CVE-2020-2604, CVE-2019-2949, CVE-2019-2989, CVE-2019-2975, CVE-2020-2593,
CVE-2019-2894, CVE-2020-2654, CVE-2020-2590, CVE-2020-2583, CVE-2019-2933)