McAfee、「ePolicy Orchestrator」の脆弱性に対処

McAfee ePolicy Orchestrator 4.6.4までのバージョンに、SQLインジェクションなどの脆弱性が見つかった。

[鈴木聖子，ITmedia]

　McAfeeのセキュリティ統合管理製品「McAfee ePolicy Orchestrator」（ePO）にSQLインジェクションなどの脆弱性が見つかったとして、米セキュリティ機関US-CERTが4月29日付で脆弱性情報を公開した。

　US-CERTによると、ePO 4.6.4までのバージョンには、事前認証されたSQLインジェクションの脆弱性と、事前認証されたディレクトリパストラバーサルの脆弱性が存在する。

　この問題を悪用された場合、攻撃者がネットワーク経由でMcAfee ePolicy Orchestrator Agent-Handlerにアクセスし、ePolicy Orchestratorのインストールフォルダに任意のファイルをアップロードしたり、ePolicy Orchestratorのデータベースの読み込みや書き込みを行ったり、ePolicy Orchestratorシステム上で任意のコード実行したりすることが可能になる。

　Mcafeeはこの問題に関するセキュリティ情報を4月26日付で公開し、ePOの更新版となるバージョン4.6.6と4.5.7で脆弱性を修正したことを明らかにした。