Ce document décrit la position de support technique de l’ingénierie de secours par rapport à une application McAfee.
Présentation
Ce document traite des préoccupations relatives à ePO et à la vulnérabilité de type attaque par Blockwise-limite (BCBA), qui permet d’effectuer des attaques de l’intercepteur (Man-in-the-Middle) via des en-têtes HTTP en texte brut.
CVE-2011-3389:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3389
Description du problème
Le protocole SSL (Secure Socket Layer), tel qu’il est utilisé dans certaines configurations dans Microsoft Windows et Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera et d’autres navigateurs, chiffre les données à l’aide du mode de chaînage Cipher-Block (CBC) avec des vecteurs d’initialisation chaînés. Cela permet aux attaquants de l’intercepteur (Man-in-the-Middle) d’obtenir des en-têtes HTTP en texte brut à l’aide d’une attaque de limite Blockwise choisie (BCBA) sur une session HTTPS. Il s’agit d’un code JavaScript qui utilise l’un des éléments suivants :
- API HTML5 WebSocket
- API Java URLConnection
- Attaque de l’API WebClient Silverlight (également connue sous le nom de "attaque")
Le serveur ePO n’utilise pas l’un des trois éléments ci-dessus de manière à permettre la réussite de cette vulnérabilité. Par conséquent, cette vulnérabilité n’est pas un problème.
Recherches et conclusions
Ce problème n’affecte pas ePO.
Clause d'exclusion de responsabilité
Toutes les futures dates de publication du produit mentionnées dans cette déclaration sont destinées à présenter notre orientation générale du produit et ne doivent pas être utilisées pour prendre une décision d’achat :
- Les dates de sortie des produits sont données à titre informatif uniquement et ne peuvent être intégrées à aucun contrat.
- Les dates de sortie des produits ne constituent pas un engagement, une promesse ni une obligation légale de fournir un quelconque produit, code ou fonctionnalité.
- Le développement, la mise sur le marché et la chronologie des fonctions et fonctionnalités décrites pour nos produits restent à notre seule discrétion et peuvent être modifiés ou annulés à tout moment.