Instrucción McAfee de mantenimiento SSC2103041
Fecha: 4 de marzo de 2021
Este documento describe McAfee la posición de mantenimiento en relación con la compatibilidad de una aplicación de marca de McAfee.
McAfee Response a la vulnerabilidad de Tomcat CVE-2021-24122.
Descripción general
Este documento aborda las preocupaciones sobre ePolicy Orchestrator (ePO) y la vulnerabilidad de Tomcat documentada en CVE-2020-24122. Se hace referencia a esta vulnerabilidad en el
https://Tomcat.apache.org/Security-7.html#Fixed_in_Apache_Tomcat_7.0.107de asesoramiento de seguridad Tomcat publicado.
Descripción
CVE-2021-24122 (divulgación de información):
Al servir recursos desde una ubicación de red mediante el sistema de archivos NTFS, era posible omitir las restricciones de seguridad o ver el código fuente de JSPs en algunas configuraciones. La causa principal era el comportamiento inesperado de la API
archivo.getCanonicalPath() de JRE, que, a su vez, fue provocado por el comportamiento incoherente de la API de Windows (
FindFirstFileW ) en algunas circunstancias.
Investigación y conclusiones
El equipo de ingeniería de ePO ha revisado este CVE y ha determinado que ePO no se ve afectado de forma predeterminada. ePO no sirve ningún archivo de una ubicación de red que utilice el sistema de archivos NTFS, en particular, los archivos JSP. Nuestra instalación predeterminada es instalar todo de forma local y servir a todo el contenido, incluido el JSPs compilado dinámicamente desde el sistema de archivos local. Es posible que haya algunas extensiones de productos de ePO que extraen datos de un servidor de servicios de fondo distinto para servir el contenido al usuario de ePO. Sin embargo, ese caso de usuario es ligeramente diferente y no es lo mismo que servir archivos de un recurso compartido de red mediante NTFS. Por lo tanto, este CVE no es aplicable a ePO.
Renuncia de responsabilidad La información suministrada en este boletín de seguridad se facilita tal cual, sin garantía de ningún tipo. McAfee declina todas las garantías, explícitas o implícitas, incluidas las garantías de comerciabilidad y adecuación para un determinado fin. En ningún caso es McAfee o sus proveedores son responsables de cualquier tipo de daño, incluidos los daños directos, indirectos, INCIDENTALES, CONSECUENCIALES, pérdida de trabajo o daño especial. Incluso si se ha notificado a McAfee o sus proveedores de la posibilidad de tales daños. Algunos Estados no permiten la exclusión o limitación de la responsabilidad por daños fortuitos o incidentales, por lo que la limitación anterior podría no aplicarse.
Las fechas de lanzamiento del producto futuras mencionadas en este boletín tienen como objetivo explicar nuestra dirección general del producto y no se debe confiar en ella para tomar una decisión de compra. Las fechas de publicación del producto solo son para fines informativos y es posible que no se incorporen a ningún contrato. Las fechas de lanzamiento de los productos no constituyen ningún compromiso, promesa ni obligación legal de entregar materiales, códigos o funcionalidades de ningún tipo. El desarrollo, la publicación y la temporización de cualquier función o funcionalidad descrita para nuestros productos sigue siendo nuestra exclusiva discreción. Se pueden cambiar o cancelar en cualquier momento.