このドキュメントでは、McAfee アプリケーションに関連したサステイニング エンジニアリングのサポート方針について説明します。

概要
この文書では、ePO と Logjam attackの脆弱性に関する懸念を取り上げています。.
詳細については、 CVE-2015-4000 を参照してください。 :

説明
McAfee は、Logjam の問題を処理する 2 つの通知を受信しました。 2回目の通知は、最初の通知をさらに拡張させたものです。

初期通知: TLS プロトコルに対する Logjam attack です。 中間者攻撃者は、Logjam 攻撃により、脆弱なTLS接続を512ビットのエクスポートグレード暗号にダウングレードします。 これにより、接続を介して送信されるデータの読み取りと変更が可能になります。 この攻撃は、FREAK 攻撃ですが、実装の脆弱性ではなく TLS プロトコルの欠陥によるもので、RSA鍵交換ではなくDiffie-Hellman鍵交換を攻撃します。 この攻撃は、DHE_EXPORT 鍵 がサポートする全てのサーバ、又現代の全ての Web ブラウザに影響します。

2 番目の通知: 国家レベルの敵からの脅威。 数百万の HTTPS、SSH、および VPN サーバーはすべて、Diffie-hellman 鍵交換に同じ素数を使用します。 各接続で新しいキー交換メッセージが生成されている限り、実践では安全であると考えています。 しかし、Diffie-Hellman コネクションを解除するための最も効率的なアルゴリズムである「数原篩」の最初のステップは、この素数にのみ依存しています。 この最初のステップの後、攻撃者は個々の接続を素早く切断することができます。

エンジニアリングは TLS に使用されている最も一般的な 512 ビットの素数に対してこの計算を実行し、Logjam 攻撃を使用して DHE_EXPORT をサポートする TLS サーバーの 80％ に接続をダウングレードできることを示しました。 さらに McAfee のアカデミックチームが 768 ビットの素数を解除して、国家が 1024 ビットの素数を中断することを推奨します。 Web サーバーで使用されている最も一般的な単一の 1024 ビットのプライムを破ることで、100 万件以上の HTTPS ドメインの 18％ に接続する受動的な盗聴が可能になります。 2 番目の素数は、VPN サーバーの 66％ と SSH サーバーの 26％ への接続の受動的な解読を可能にします。 公表されたNSAのリークを詳しく読むと、当局のVPNに対する攻撃は、そのような打撃を受けたことと一致していることがわかります。

調査と結論
最初に脆弱性が発表された時点で、ePO チームは共同でリスク評価を行い、ePO はこの問題の影響を受けないと判断しました。 当初の理由は、当初確認されていた＜512ビットの輸出用グレードの暗号＞を超えたことによるものでした。

脆弱性のある ePO のバージョン
2回目の改訂とリスク評価の結果、国家レベルの敵対者の新しい基準に基づいて、ePO は 脆弱であると結論づけられました。
ePO チームは、次のように OpenSSL とビットグレードの暗号化のバージョンをアップグレードしています:

注意: 上記の ePO バージョンは、すべて生産終了となりました。

脆弱性のない ePO のバージョン
ePO 5.10.x と ePO 5.9.x は 影響を受けません。

免責事項
この文章に記載されている将来の製品発売日は、製品の一般的な方向性を示すものであり、購入の意思決定の際に依存するものではありません: