Japan Vulnerability Notes |
JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は6月5日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#98454141: McAfee ePolicy Orchestrator が SSL/TLS 証明書を適切に検証しない脆弱性」においてMcAfee ePolicy Orchestratorのセキュリティ脆弱性について伝えた。該当するソフトウェアを使用している場合には説明されている対策方法などを適用し、早期に問題に対処することが推奨される。
脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。
- McAfee ePolicy Orchestrator 4.6.8 およびそれよりも前のバージョン
- McAfee ePolicy Orchestrator 5.1.1 およびそれよりも前のバージョン
この脆弱性は認証局、証明書のコモンネーム、証明書のドメインネームの検証処理に不具合があるというもので、SSL/TLS通信であっても中間者攻撃やスプーフィング攻撃を受ける危険性があるとされている。該当するプロダクトを利用している場合には、セキュリティ脆弱性が修正された最新版へアップデートすることが推奨される。