こちらは、McAfee社より通達された重要情報となります。
[関連する(影響を受ける)製品]
McAfee Agent (MA) 5.x ・McAfee Application and Change Control (MACC) 8.2.x ・McAfee Active Response (MAR) 2.x ・McAfee Data Exchange Layer (DXL) 5.x ・McAfee Data Loss Prevention Endpoint (DLP Endpoint) 11.x, ・McAfee Endpoint Intelligence Agent (EIA) 2.x ・McAfee Endpoint Security (ENS) Firewall 10.x ・McAfee ENS Platform (Common) 10.x ・McAfee ENS Threat Prevention 10.x ・McAfee ENS Web Control 10.x ・McAfee Host Intrusion Prevention (Host IPS) 8.0 ・McAfee Threat Intelligence Exchange Module (TIEm) for VirusScan Enterprise 1.x ・McAfee VirusScan Enterprise (VSE) 8.8 ePO Cloud
[概要]
オペレーティングシステムのルート証明書を自動更新、もしくは手動にて展開していない環境において、以下のような問題が発生する可能性があります。
McAfee 製品のインストール、またはアップグレードが失敗する VSE Access Protection ポリシーの
カテゴリやルールのフィールドが空になる xDATのインストールに失敗する。
[問題の詳細]
McAfee 製品ラインでは、セキュアな通信のために TLS を使用しており、2038 年まで有効なプライマリ証明書と 2020 年 5 月 30 日 GMT 10:48 まで有効なセカンダリ証明書の 2 つが McAfee TLS チェーンの検証に使用されます。
いずれかの証明書、または両方が環境に存在する場合、TLS は 2020 年 5 月 30 日まで正しく機能し、2020 年 5 月 30 日以降は、プライマリ証明書のみが有効になります。
通常、証明書はオペレーティングシステムを通じて自動更新されるため、お客様への影響はありません。ただし、ルート証明書の自動管理が無効で、プライマリ証明書が手動で展開されていない環境では、影響が及ぶ可能性があります。有効な証明書がないと、検出効率の低下など、製品の問題が発生します。
例えば、
・ENSをスタンドアローンかつ外部ネットワークに接続している場合は、外部のマカフィー社のサーバーにTLS1.2で接続するため、対象になります。
・ENSをスタンドアローンかつ外部ネットワークに接続していない場合は、外部のマカフィー社のサーバーにTLS1.2で接続しないので、対象外になります。
・MACをスタンドアローンで運用している場合は、ePOへ接続しないため、対象外になります。
詳細は、以下の KB を参照してください。
McAfee証明書チェーンのルート証明書を更新する必要がある場合があります (KB92937)
https://kc.mcafee.com/corporate/index?page=content&id=KB92937&actp=null&viewlocale=ja_JP&locale=ja_JP
ルート証明書がないため、 McAfee 製品のインストールまたはアップグレードが失敗する、また VSE 8.8 Patch 拡張ファイル のアップグレード後に、VSE Access Protection ポリシーのカテゴリやルールのフィールドが空になる (KB87096)
https://kc.mcafee.com/corporate/index?page=content&id=KB87096
[問題に該当しているか否かの確認方法]
管理者は、次のレジストリキーの存在を照会することで、ご利用のシステムがプライマリ証明書を実行しているかすぐに確認することができます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2B8F1B57330DBBA2D07A6C51F70EE90DDAB9AD8E
[回避策]
証明書が更新されていない場合には、下記のいずれかの方法にて証明書を更新してください。
オプション1:Active Directory グループポリシーを使用して証明書をインストールする方法 オプション
オプション2:証明書をシステムに直接インストールする方法
※証明書のアップグレードについての詳細は、上述の KB92937 もしくは、下記を参照ください。
McAfee 製品のインストールとアップグレードが成功したことを保証するためにルート証明機関を
更新する方法 (KB91697)
https://kc.mcafee.com/corporate/index?page=content&id=KB91697&actp=null&viewlocale=ja_JP&locale=ja_JP
[McAfee KB情報]
・KB87096
・KB91697
・KB92937
更新日:2020/6/19