公開日:2013/04/30 最終更新日:2013/07/16

JVNVU#94853684
McAfee ePolicy Orchestrator に複数の脆弱性

概要

McAfee ePolicy Orchestrator には、複数の脆弱性が存在します。

影響を受けるシステム

  • McAfee ePolicy Orchestrator 4.5 RTW から 4.5.6 まで
  • McAfee ePolicy Orchestrator 4.6 RTW から 4.6.5 まで

詳細情報

McAfee ePolicy Orchestrator には、SQL インジェクションおよびディレクトリトラバーサルの脆弱性が存在します。

(2013年7月16日 - 追記)
本脆弱性を使った攻撃ツールに関する情報が US-CERT Alert (TA13-193A) で公開されました。

想定される影響

遠隔の第三者によって、システム権限で任意のコードを実行されたり、悪意あるファイルをアップロードされたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

詳しくは、開発者が提供する情報をご確認ください。

ベンダ情報

ベンダ リンク
McAfee McAfee Security Bulletin - ePO update fixes two vulnerabilities reported by Verizon

参考情報

  1. CERT/CC Vulnerability Note VU#209131
    McAfee ePolicy Orchestrator 4.6.4 and earlier pre-authenticated SQL injection and directory path traversal vulnerabilities

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory US-CERT Alert (TA13-193A)
Exploit Tool Targets Vulnerabilities in McAfee ePolicy Orchestrator (ePO)
CPNI Advisory
TRnotes
CVE CVE-2013-0140
CVE-2013-0141
JVN iPedia JVNDB-2013-002527
JVNDB-2013-002526

更新履歴

2013/07/16
詳細情報、対策方法、関連文書を更新しました。