こちらは、McAfee社より通達された重要情報となります。
[関連する(影響を受ける)製品]
ePolicy Orchestrator (ePO)
[概要]
ePolicy Orchestrator (ePO) の8つの脆弱性が発見され、解決されました。。
[影響を受けるバージョン]
ePO 5.10 Update 11より前のePO 5.10
[影響度]
・CVE-2021-31834 (CVSS: 3.5; 重要度: 低) CWE 79: クロスサイトスクリプティング (XSS)
・CVE-2021-31835 (CVSS: 3.5; 重要度: 低) CWE 79: クロスサイトスクリプティング (XSS)
・Java CVE-2021-2161 (CVSS: 5.9; 重要度: 中) NVD-CWE-noinfo: 不十分な情報
・Java CVE-2021-2432 (CVSS: 3.7; 重要度: 低) NVD-CWE-noinfo: 不十分な情報
・Open SSL CVE-2021-3712 (CVSS: 7.4; 重要度: 高) CWE 125: 範囲外の読み取り
・OpenSSL CVE-2021-23840 (CVSS 3.7; 重要度: 低) CWE 190: 整数オーバーフロー、
またはラップアラウンド
・Tomcat CVE-2021-30639 (CVSS: 7.5; 重要度: 高) CWE 755: 例外的な状態の不適切な処理
・Tomcat CVE-2021-33037 (CVSS: 5.3; 重要度: 中) CWE 444: HTTPリクエストの一貫性のない
解釈 ('HTTP リクエストスマグリング')
[修正バージョン]
ePO 5.10 Update 11 以降
[回避策]
McAfee ePO 5.10.0 Update 11より前のバージョンを利用している場合には、McAfee ePO 5.10.0 Update 11以降にアップデートしてください。
McAfee ePO 5.10.0 Update 11の変更内容は、下記のRelease Noteを参照ください。
https://docs.mcafee.com/ja-JP/bundle/epolicy-orchestrator-5.10.0-release-notes/page/GUID-E4B08A18-77A1-404C-A1D5-D333CA74D77A.html
推奨:
McAfee では、すべてのお客様が最新の更新を適用していることを確認するように推奨します。
影響を受けるユーザーは、関連する更新プログラム、または修正プログラムをインストールする
必要があります。
詳細な手順と情報については、Knowledge Base 記事 SB10366を参照してください。
https://kc.mcafee.com/corporate/index?page=content&id=SB10366
[McAfee KB情報]
SB10366:Security Bulletin - ePolicy Orchestrator update addresses two product vulnerabilities (CVE-2021-31834 and CVE-2021-31835) and updates Java, OpenSSL, and Tomcat
更新日:2021/10/22