Este documento descreve a posição de suporte de manutenção de engenharia em relação a um aplicativo de McAfee.
Visão geral
Este documento aborda preocupações com o ePO e a vulnerabilidade de ataque de limite (BCBA) escolhido pelo Blockwise, que permite ataques man-in-the-Middle através de cabeçalhos HTTP de texto não criptografado.
CVE-2011-3389:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3389
Descrição
O protocolo Secure Socket Layer (SSL) conforme usado em determinadas configurações no Microsoft Windows e Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Opera e em outros navegadores, criptografa dados usando o modo Cipher-Block Chain (CBC) com vetores de inicialização em cadeia. Isso permite que atacantes Man-in-the-the-Middle obtenham cabeçalhos HTTP de texto sem formatação usando um ataque de limite de Blockwise escolhido (BCBA) em uma seção HTTPS. Isso está em conjunto com JavaScript código que usa uma das seguintes opções:
- API do WebSocket do HTML5
- API do Java URLConnection
- API de WebClient do Silverlight (também conhecida como ataque de "Beast")
O servidor ePO não usa nenhum dos três itens acima de forma a permitir que essa vulnerabilidade fosse bem-sucedida. Portanto, essa vulnerabilidade não é um problema.
Pesquisa e conclusões
Esse problema não afeta o ePO.
Aviso de isenção de responsabilidade
Todas as datas de lançamento de produto futuras mencionadas nesta declaração destinam-se a descrever nossa direção geral de produto e não devem ser confiadas na tomada de uma decisão de compra:
- As datas de lançamento de produtos são apenas para fins informativos e podem não ser incorporadas a nenhum contrato.
- As datas de lançamento de produtos não são um compromisso, uma promessa ou uma obrigação legal de fornecer qualquer material, código ou funcionalidade.
- O desenvolvimento, lançamento e data de quaisquer recursos ou funcionalidades descritas para nossos produtos ocorrem segundo nosso critério exclusivo e podem ser alteradas ou canceladas a qualquer momento.