En este documento se describe la posición de soporte de la ingeniería con respecto a una aplicación McAfee.
Descripción general
En este documento se abordan las preocupaciones sobre ePO y la vulnerabilidad Blockwise de ataque de límite elegido (BCBA), que permite ataques de tipo "Man in the Middle" a través de encabezados HTTP en texto sin formato.
CVE-2011-3389:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3389
Descripción
El protocolo capa de sockets seguros (SSL), tal y como se utiliza en ciertas configuraciones de Microsoft Windows y Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, opera y otros navegadores, cifra los datos mediante el modo de cifrado de bloque de bloqueo (CBC) con vectores de inicialización encadenados. Esto permite a los atacantes de tipo "Man in the Middle" obtener encabezados HTTP en texto sin formato mediante un ataque de límite Blockwise elegido (BCBA) en una sesión HTTPS. Esto se hace junto con JavaScript código que utiliza una de las siguientes opciones:
- API WebSocket de HTML5
- API de Java URLConnection
- API de WebClient de Silverlight (también conocida como un ataque de "de"
El servidor de ePO no utiliza ninguno de los tres elementos anteriores de una forma que permitiera que esta vulnerabilidad se llevara a cabo correctamente. Por lo tanto, esta vulnerabilidad no es un problema.
Investigación y conclusiones
Que este problema no afecta a ePO.
Renuncia de responsabilidad
Todas las fechas de lanzamiento de producto futuras que se mencionan en esta declaración tienen como objetivo describir nuestra dirección general del producto y no se debe confiar en ella para tomar una decisión de compra:
- Las fechas de lanzamiento de los productos tienen un propósito meramente informativo, por lo que no se pueden incorporar en ningún contrato.
- Las fechas de lanzamiento de los productos no constituyen ningún compromiso, promesa ni obligación legal de entregar materiales, códigos o funcionalidades de ningún tipo.
- El desarrollo, el lanzamiento y las fechas de cualquier función o funcionalidad descritos para nuestros productos queda a nuestra entera discreción, por lo que podrán cambiarse o cancelarse en cualquier momento.