¶~~~McAfee~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ¶
     【臨時配信】マカフィーサポート通信  - 2012/05/09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~McAfee~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
McAfee Email Gateway/Email and Web Securityの脆弱性を修正したHotfixリリースのお知らせ
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
McAfee Email Gateway/Email and Web Securityにて確認された複数の脆弱性を修正したHotfixがリリースされましたのでご案内します。
脆弱性への対応の為、Hotfixの適用をお願いいたします。

■影響のある製品
McAfee Email Gateway (MEG) 7.0.1 およびそれ以前の環境
McAfee Email and Web Security (EWS) 5.6 Patch 3 およびそれ以前の環境
McAfee Email and Web Security (EWS) 5.5 Patch 6 およびそれ以前の環境

■内容
McAfee Email Gateway/Email and Web Securityの以下の脆弱性を修正したHotfixがリリースされました。

・Authentication bypass
 リモートの攻撃者が認証をバイパスし、管理者 (Admin) ユーザーの有効なセッションIDを得ることができます。
 管理者ユーザー権限を持った攻撃者はアプライアンスをコントロールすることができます。

・Directory traversal
 偽装されたURLを用いて、MEG 7.0が実行されているシステム上の任意のファイルをダウンロードすることができます。
  ユーザーはファイルをダウンロードするためにログインは必要ありません。
 またファイルはどのユーザーでログインしても、rootユーザーのように公開することができます。

・Reflected cross-site scripting (XSS)
  McAfee Email and Web Security Appliance Software 5.xとMcAfee Email Gateway 7.xでは攻撃者が反射型(Reflective)XSSを引き起こし、
 セッショントークンを取得することで、認証後のコンテンツにアクセスされる可能性があります。また、任意のJava Scriptを管理者の
  ブラウザコンテキストとMcAfee Security Appliance Managementコンソール/ダッシュボード内で実行することができます。

本脆弱性に関する詳細は下記のQ&Aをご参照ください。

<サポートQ&A>
http://www.mcafee.com/japan/pqa/aMcAfeeEws55.asp?ancQno=EW512050901&ancProd=McAf eeEws55
http://www.mcafee.com/japan/pqa/answer.asp?ancQno=MEG12050901&ancProd=MEG

■本脆弱性の修正を含むHotfix
McAfee Email Gateway 7.0 HF759601 (HF MEG-7.0h759601-2151.119.zip)
McAfee Email and Web Security 5.6 HF759921 (HF EWS-5.6h759921-2143.116.zip)
McAfee Email and Web Security 5.5 HF759991 (HF EWS-5.5h759991-2146.112.zip)

■Hotfix 適用に必要なパッチ/バージョンは以下となります。
McAfee Email Gateway 7.0.1 (Patch1)
McAfee Email and Web Security 5.6 Patch 3
McAfee Email and Web Security 5.5 Patch 6

■インストール手順
下記Q&Aをご参照頂き、インストールしてください。

<EWS 5.5/5.6 パッケージ(Patch等)インストール手順>
http://www.mcafee.com/japan/pqa/aMcAfeeEws55.asp?ancQno=EW511062101&ancProd=McAf eeEws55

<MEG 7.0 パッケージ(Patch等)インストール手順>
http://www.mcafee.com/japan/pqa/answer.asp?ancQno=MEG12031902&ancProd=MEG

※EWSはHotfixの適用後自動的にシステム全体が再起動します。
MEGは関連サービスの再起動がかかります。

■配布方法
ライセンス版ダウンロードサイトよりダウンロードください。
http://www.mcafee.com/japan/licensed2/

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
○ マカフィーサポート通信について
  -  登録解除(配信停止)
   「マカフィーサポート通信」及び「ウイルス警報」の登録解除(配信停止)を
   ご希望される方は、以下のページより手続きをお願い致します。
   https://md.pbz.jp/s/r-ctrl.php?act=PCDelAuth&funcinfo_allreset=1&uid=mcafee&mid= support_news


~~~~~~~McAfee~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
発信元  :  マカフィー株式会社
             テクニカルサポートセンター インフォメーション係
                 http://www.mcafee.com/japan/support/
(c) 2012 McAfee, Inc. All Rights Reserved.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~McAfee~~~~~