Open Source im professionellen Einsatz

DFN-CERT-2017-0890 McAfee ePolicy Orchestrator (ePO): Eine Schwachstelle ermöglicht das Ausführen beliebiger Befehle [Windows]

19.05.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

McAfee ePolicy Orchestrator >= 5.1.0
McAfee ePolicy Orchestrator <= 5.1.3
McAfee ePolicy Orchestrator <= 5.3.2
McAfee ePolicy Orchestrator <= 5.9.0


Betroffene Plattformen:

Microsoft Windows Server



Ein entfernter, einfach authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um beliebige Kommandos über eine ePO-Benutzersitzung auszuführen.

Der Hersteller informiert über die Schwachstelle und empfiehlt die
bereitgestellten Sicherheitsupdates ePolicy Orchestrator (ePO) 5.1.3 Hotfix
1193124 (EPO513HF1193124.zip), 5.3.1 Hotfix 1194398 (EPO531HF1194398.zip),
5.3.2 Hotfix 1193123 (EPO532HF1193123.zip) oder 5.9.0 Hotfix 1193951
(EPO590HF1193951.zip) schnellstmöglich zu installieren. Für Versionen 5.1.x
muss zuvor auf Version 5.1.3, 5.3.1 oder 5.3.2 aktualisiert werden.


Patch:

Intel Security Bulletin SB10196: ePolicy Orchestrator update fixes directory
traversal vulnerability (CVE-2017-3980)

<https://kc.mcafee.com/corporate/index?page=content&id=SB10196>


CVE-2017-3980: Schwachstelle in McAfee ePolicy Orchestrator (ePO) ermöglicht
Ausführung beliebiger Kommandos

In der ePO Extension in McAfee ePolicy Orchestrator (ePO) 5.9.0, 5.3.2 und
5.1.3 und früheren Versionen in den jeweiligen Versionszweigen existiert
eine Directory-Traversal-Schwachstelle.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0890/>

Intel Security Bulletin SB10196: ePolicy Orchestrator update fixes directory
traversal vulnerability (CVE-2017-3980):
<https://kc.mcafee.com/corporate/index?page=content&id=SB10196>

Schwachstelle CVE-2017-3980 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3980>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 08/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.