In questo documento viene descritta la posizione di supporto dell'Engineering di sostegno rispetto a un'applicazione McAfee.
Panoramica
Questo documento riguarda le preoccupazioni relative a ePO e alla vulnerabilità di attacco blockwise scelto (BCBA), che consente attacchi man-in-the-Middle tramite intestazioni HTTP in chiaro.
CVE-2011-3389:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3389
Descrizione
Il protocollo Secure Socket Layer (SSL) utilizzato in determinate configurazioni in Microsoft Windows e Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, opera e altri browser, crittografa i dati utilizzando la modalità Cipher-Block Chaining (CBC) con vettori di inizializzazione concatenati. Ciò consente agli aggressori Man-in-the-Middle di ottenere intestazioni HTTP in chiaro utilizzando un attacco blockwise-Boundary (BCBA) su una sessione HTTPS. In combinazione con il codice JavaScript che utilizza uno dei seguenti elementi:
- API WebSocket di HTML5
- Java API URLConnection
- API WebClient Silverlight (noto anche come "attacco" bestia)
Il server ePO non utilizza uno dei tre elementi sopra descritti in modo da consentire la riuscita di questa vulnerabilità. Pertanto, questa vulnerabilità non è un problema.
Ricerca e conclusioni
Che questo problema non influisce su ePO.
Dichiarazione di non responsabilità
Qualsiasi data di rilascio futura del prodotto menzionata nella presente dichiarazione ha lo scopo di delineare la nostra direzione generale del prodotto e non dovrebbe essere invocata nel prendere una decisione di acquisto:
- Le date di rilascio dei prodotti sono indicate a solo scopo informativo e non devono essere incluse in alcun contratto.
- Le date di rilascio dei prodotti non sono un impegno, una promessa o un obbligo legale di rilascio di materiali, codici o funzionalità.
- Lo sviluppo, il rilascio e le tempistiche relative a funzioni o funzionalità descritte per i nostri prodotti sono indicate a nostra esclusiva discrezione e possono essere modificate o annullate in qualsiasi momento.