NVD脆弱性詳細
Exploit、PoC検索
CVE-2015-2859
概要

Intel McAfee ePolicy Orchestrator (ePO) 4.x through 4.6.9 and 5.x through 5.1.2 does not validate server names and Certification Authority names in X.509 certificates from SSL servers, which allows man-in-the-middle attackers to spoof servers and obtain sensitive information via a crafted certificate.

公表日 2015年6月24日6:59
登録日 2021年1月26日14:48
最終更新日 2024年11月21日11:28
CVSS2.0 : MEDIUM
スコア 5.8
ベクター AV:N/AC:M/Au:N/C:P/I:P/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A) なし
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.0:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.5.4:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.5.7:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.5:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:5.0.0:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:5.1.0:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:5.1.1:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.7:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.5.0:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.0:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.5.5:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.3:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:5.0.1:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.8:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.2:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.9:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.4:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.6:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:5.1.2:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.5.3:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.5.6:*:*:*:*:*:*:*
cpe:2.3:a:mcafee:epolicy_orchestrator:4.6.1:*:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
McAfee ePolicy Orchestrator が SSL/TLS 証明書を適切に検証しない脆弱性
タイトル McAfee ePolicy Orchestrator が SSL/TLS 証明書を適切に検証しない脆弱性
概要

McAfee ePolicy Orchestrator には、SSL/TLS 証明書を適切に検証しない脆弱性が存在します。 証明書の不適切な検証 (CWE-295) - CVE-2015-2859 McAfee ePolicy Orchestrator (ePO) は、データの収集、集約など様々な目的のために外部サーバと連携する機能をサポートしており、外部サーバとの通信を SSL/TLS を使って暗号化するよう指定することが可能です。ePO は、認証局 (CA)、および証明書のコモンネーム (CN) やドメインネーム (DN) の検証処理に不備があります。結果として、これらの通信は中間者攻撃やスプーフィング攻撃に対して脆弱になります。 CWE-295: Improper Certificate Validation http://cwe.mitre.org/data/definitions/295.html

想定される影響 攻撃者によって、当該製品と外部サーバ間の HTTPS 通信の内容を閲覧されたり改ざんされたりする可能性があります。
対策

[アップデートする] 本脆弱性はバージョン 4.6.9 および 5.1.2 で修正されています。 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日 2015年6月4日0:00
登録日 2015年6月8日13:53
最終更新日 2015年6月25日17:24
影響を受けるシステム
マカフィー
McAfee ePolicy Orchestrator 4.6.8 およびそれ以前
McAfee ePolicy Orchestrator 5.1.1 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
0 [2015年06月08日]
  掲載
[2015年06月25日]
  CVSS による深刻度:内容を更新
  CWE による脆弱性タイプ一覧:CWE-ID を追加
  ベンダ情報:マカフィー (KB84628) を追加
  ベンダ情報:マカフィー (SB10120) を追加
  参考情報:National Vulnerability Database (NVD) (CVE-2015-2859) を追加		 2018年2月17日10:37