このドキュメントでは、McAfee アプリケーションのサポートに関連したサステイニング エンジニアリング ステートメントに関する記述について説明します。
一部のお客様は、Nessus と Qualys が環境内の ePO システムに対してスキャンを行ったことによって生成された警告を報告しています。 エンジニアリングの分析では、これらの分析ツールは証明書パラメータに正確にフラグを立てますが、ePO の実装ではこれらの警告に記載されている例外を認定すると結論付けています。
説明
この文書で扱うスキャン警告の詳細を以下に要約します。
Nessus スキャン |
プラグイン ID |
概要 |
説明 |
51192 |
このサービスの SSL 証明書は、不明な証明機関によって署名されています。 |
リモート ホストの X.509 証明書は、既知のパブリック認証局によって署名されていません。 リモート ホストが本番環境のパブリック ホストである場合、SSL の使用は無効になり、誰でもリモート ホストに対して中間者攻撃を行うことができます。 |
57582 |
このサービスの SSL 証明書チェーンは、承認されていない自己署名証明書で終了します。 |
このサービスの X.509 証明書チェーンは、承認された証明機関によって署名されていません。 リモート ホストが本番環境のパブリック ホストである場合、SSL の使用は無効になり、誰でもリモート ホストに対して中間者攻撃を行うことができます。 |
45411 |
このサービスの SSL 証明書は、別のホストのものです。 |
このサービス用に提示された SSL 証明書の 'commonName' (CN) 属性は、別のシステムのものです。 |
これらのスキャン アラートは、以下のものと事実上同じです。
Qualys スキャン結果 |
QID |
カテゴリ |
詳細 |
38173 |
一般的なリモート サービス |
QID 38173 は次の例外に注意します。 サーバーがサーバー証明書または信頼できる CA 証明書を持つクライアントといった限定されたクライアントとのみ通信する場合、サーバーまたは CA 証明書は公開されない可能性があります。 そうである場合、スキャンは署名を検証できません。 |
38170 |
一般的なリモート サービス |
脅威 : SSL証明書は、エンティティ (個人、組織、ホストなど) をパブリック キーに関連付けます。 SSL 接続では、クライアントはサーバーの証明書を使用してリモート サーバーを認証し、証明書のパブリック キーを抽出して安全な接続を確立します。 サブジェクトの commonName または subjectAltName がサーバーの FQDN と一致しない証明書は、認証なしで暗号化のみを提供します。 |
調査と結論
ePO エンジニアリング チームは調査結果を調査し、ポート 8444 および 443 はブラウザを使用したブラウジングを目的としていないため、報告された結果に ePO が脆弱ではないと結論付けました。 McAfee Agent (MA)、Agent Handler (AH) またはその他の ePO 内部サービスからアクセスされ、ePO インストールごとに生成される OrionCA 上に証明書の信頼が構築されます。
すべての警告に関して、注記 QID 38173 の例外が適用されます。
ePO サーバとエージェント ハンドラのコンポーネントは、信頼できる証明書チェーンを持つクライアントなどの限定されたクライアントとのみ通信します。 CA 証明書は公開されておらず、リモートで確認することはできません。
さらに、Qualys の顧客の将来の懸念を回避するために、McAfee は、QID によって通知された subjectAltName 値を設定することにより、QID 38170に対処する強化要求を提出しています。
免責事項
このステートメントで言及するすべての将来の製品リリース日は、当社の製品に関する全般的な方針を意図するものであり、これに基づいて製品購入を決定するべきではありません
- 製品リリース日は、情報提供のみを目的としており、契約条件に盛り込むことはできません。
- 製品のリリース日は、何らかの素材、コードまたは機能を提供するという確約でも誓約でも法的義務でもありません。
- 当社の製品のあらゆる仕様または機能の開発、リリース、およびその時期は、当社の裁量によるものであり、随時変更またはキャンセルされることがあります。