こちらは、McAfee社より通達された重要情報となります。
[関連する(影響を受ける)製品]
ePolicy Orchestrator (ePO)
[概要]
ePolicy Orchestrator(ePO) の複数の脆弱性が発見され、解決されました。
[影響を受けるバージョン]
ePO 5.10 Update 13より前のePO 5.10
[影響度]
・CVE-2022-0842 (CVSS: 5.4; 重大度: 中) CWE-89: SQLコマンドで使用される特殊要素の不適切な中
('SQL インジェクション')
・CVE-2022-0857 (CVSS: 5.4; 重大度: 中) CWE-79: Webページ生成中の入力の不適切な中和
('クロスサイトスクリプティング')
・CVE-2022-0858 (CVSS: 4.3; 重大度: 中) CWE-79: Webページ生成中の入力の不適切な中和
('クロスサイトスクリプティング')
・CVE-2022-0859 (CVSS: 6.5; 重大度: 中) CWE-522: 十分でない資格情報保護
・CVE-2022-0861 (CVSS: 3.5; 重大度: 低) CWE-611: XML外部エンティティ参照の不適切な制限。
・CVE-2022-0862 (CVSS: 3.1; 重大度: 低) CWE-522: 十分でない資格情報保護
・Tomcat CVE-2021-42340 (CVSS: 5.3; 重大度: 中) CWE-772: 有効なライフタイム後のリソースの解放の
欠如
・Apache HTTP Server CVE-2021-34798 (CVSS: 7.5; 重大度: 高) CWE-476: NULL ポインタデリファレンス
・Apache HTTP Server CVE-2020-13938 (CVSS: 5.5; 重大度: 中) CWE-862: 認証の欠如
・Javaの複数のCVE - SB10379のJava CVEのセキュリティアドバイザリを参照してください
[修正バージョン]
ePO 5.10 Update 13 以降
[回避策]
McAfee ePO 5.10.0 Update 13より前のバージョンを利用している場合には、McAfee ePO 5.10.0 Update 13以降にアップデートしてください。
McAfee ePO 5.10.0 Update 13の変更内容は、下記のRelease Noteを参照ください。
https://docs.trellix.com/ja-JP/bundle/epolicy-orchestrator-5.10.0-release-notes/page/GUID-A12A955B-A638-4494-B1B0-94965D6319DC.html
推奨:
McAfee では、すべてのお客様が最新の更新を適用していることを確認するように推奨します。
影響を受けるユーザーは、関連する更新プログラム、または修正プログラムをインストールする
必要があります。
詳細な手順と情報については、Knowledge Base 記事SB10379を参照してください。
https://kcm.trellix.com/corporate/index?page=content&id=SB10379
[McAfee KB情報]
SB10379:Security Bulletin - ePolicy Orchestrator update addresses multiple product vulnerabilities (CVE-2022-0842, CVE-2022-0857, CVE-2022-0858, CVE-2022-0859, CVE-2022-0861, CVE-2022-0862) and updates Java, Apache HTTP Server, and Tomcat
更新日:2022/3/23