Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

McAfee ePolicy Orchestrator >= 5.1.0
McAfee ePolicy Orchestrator <= 5.1.3 Betroffene Plattformen: Citrix XenServer Microsoft Windows VMware ESXi Eine Schwachstelle in McAfee ePolicy Orchestrator (ePO) ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs. Der Hersteller informiert über die Schwachstelle und empfiehlt das bereitgestellte Sicherheitsupdate ePolicy Orchestrator (ePO) 5.1.3 Hotfix 1110787 (EPO5xHF1110787.zip) schnellstmöglich zu installieren. Für Versionen 5.1.x muss zuvor auf Version 5.1.3 aktualisiert werden. Patch: Intel Security Bulletin SB10184: ePolicy Orchestrator update fixes cross-site scripting vulnerability (CVE-2017-3902) https://kc.mcafee.com/corporate/index?page=content&id=SB10184

CVE-2017-3902: Schwachstelle in McAfee ePolicy Orchestrator (ePO) ermöglicht
Cross-Site-Scripting-Angriff

In der Web-Schnittstelle des McAfee ePolicy Orchestrators (ePO) existiert
eine Schwachstelle aufgrund der unzureichenden Validierung von Eingaben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0278/

Intel Security Bulletin SB10184: ePolicy Orchestrator update fixes cross-site
scripting vulnerability (CVE-2017-3902):
https://kc.mcafee.com/corporate/index?page=content&id=SB10184

Schwachstelle CVE-2017-3902 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3902

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.