本文档介绍了与 McAfee 应用程序保持工程相关的支持位置。
概述
本文档解决了对 ePO 和
Logjam 的
攻击漏洞。
参阅
CVE-2015-4000详细信息。 :
描述
McAfee 已收到两条处理 Logjam 问题的通知。 第二个通知在原始通知上展开。
初始通知:针对 TLS 协议的 Logjam 攻击。 Logjam 攻击允许中间人攻击者将易受攻击的 TLS 连接降级至 512 位导出加密。 这允许攻击者读取和修改通过连接传递的任何数据。 该攻击是一种扫描程序攻击,但并非由于 TLS 协议存在缺陷,而非实施漏洞,而是攻击 Diffie-Hellman 密钥交换,而非 RSA 密钥交换。 该攻击会影响支持网络DHE_EXPORT服务器,并影响所有现代 Web 浏览器。
第二个通知:来自州级漏洞利用的威胁。 数百万个 HTTPS、SSH 和 VPN 服务器都使用同一主要编号进行 Diffie-Hellman 密钥交换。 只要每次连接都生成新的密钥交换消息,专业人员即表示其安全。 但是,数字字段 sieve 的第一步 -- 中断 Diffie-Hellman 连接最有效的算法 -- 只依赖于此主要值。 完成这一第一步后,攻击者可以快速断开各个连接。
工程针对 TLS 和这一最常用的 512 位主要服务器执行计算,即 Logjam 攻击可用于将支持此攻击的 80% 的 TLS 服务器降级DHE_EXPORT。 McAfee 进一步估计,一个学校团队能够打破 768 位的州级数字,一个国家能够打破 1024 位的州级数字。 如果打破网站服务器所使用的单一、最常见的 1024 位主要域,将允许对连接进行被动分页操作,连接数量达到前 100 万个 HTTPS 域的 18%。 第二个主要服务器将允许被动解密到 66% 的 VPN 服务器和 26% 的 SSH 服务器的连接。 关闭对已发布的 NSA 泄露的读取会显示机构对 VPN 的攻击与实现此类中断一致。
研究和结论
在采取初始漏洞公告时, ePO 团队执行协作式风险评估,确定 ePO 为
不受此问题的影响。 最初的原因是超过了最初确定的< 512位导出级加密。
易受攻击的 ePO 版本
第二次修订和风险评估后,决定 ePO
是根据州级查询的新标准,易受攻击。
ePO 团队升级了以下版本的 OpenSSL 和 bit-crypt 加密:
- 修补程序1080544中的ePO 5.3.1,可在产品下载网站上找到。
- ePO 5.1.3
- ePO 4.6.9 修补程序 1080853 更新 OpenSS. 但是,我们无法升级ePO 4.6.9修补程序中的服务器临时密钥,因为集成的Apache 2.2.x版本需要512或1024的密钥大小才能正常工作。 这意味着安全扫描器仍然可以将所有 ePO4.6.x 版本识别为易受攻击,因为它们检查服务器临时密钥值并报告最大1024大小为易受攻击。 这个1024密钥大小在抵御国家或国家支持的攻击时被认为是弱的。 要正确解决服务器临时密钥大小问题,ePO4.6.x用户必须升级到 ePO5.1.3或 ePO5.3.1,然后应用 ePO5.x修补程序1080544。 有关详细信息,请参阅SSL/TLS 强加密系统常见问题解答登录页面。
注意:所有上述 ePO 版本都已达到使用期。
不易受攻击的 ePO 版本
ePO 5.10.x 和 ePO 5.9.x 都 不 受影响。
免责声明
该声明中提到的任何以后产品发行日期旨在概述我们的一般产品方向,在做出购买决定时不得依赖该日期:
- 产品发布日期仅供参考,可能不会合并到任何合同中。
- 产品发行日期不对任何材料、代码或功能的交付作出承诺、保证或承担法律责任。
- 对我们产品所描述的任何功能或功能的开发、发布和计时都是我们唯一的决定,可能随时更改或取消。