McAfeeのエンタープライズ向けソフトに脆弱性、修正パッチが公開

McAfeeのセキュリティ管理ソフト「ePolicy Orchestrator」（ePO）に深刻な脆弱性が見つかった。

[ITmedia]

　McAfeeのエンタープライズ向けリモートセキュリティ管理ソフト「McAfee ePolicy Orchestrator」（ePO）に複数の脆弱性が報告され、同社がパッチを公開した。

　仏FrSIRTが7月11日に公開したアドバイザリーによると、脆弱性はePOエージェントのバッファオーバーフローと整数オーバーフロー問題に起因する。

　この問題を突かれると、リモートの認証を受けていない攻撃者が細工を施したリクエストを送り付けることにより、昇格した権限で任意のコマンドを実行することが可能になり、システムを完全に制御される恐れがある。

　影響を受ける製品はePolicy Orchestrator 3.5／3.6／3.6.1、ProtectionPilot 1.1.1／1.5、およびCommon Management Agent（CMA）3.6.0.453とそれ以前のバージョン。FrSIRTのリスク評価は4段階で最も高い「Critical」となっており、パッチの適用を勧告している。