Liste consolidée des vulnérabilités qui ne présentent aucun risque pour le Gateway Web appliance
Articles techniques ID:
KB88086
Date de la dernière modification : 2021-09-24 04:58:41 Etc/GMT
Date de la dernière modification : 2021-09-24 04:58:41 Etc/GMT
Environnement
McAfee Web Gateway (MWG)
Synthèse
Le tableau suivant répertorie les vulnérabilités (applicables) que Support technique a examinées et conclues ne représentent aucun risque pour le MWG appliance lorsqu’il est installé dans une configuration prise en charge.
FAUT Les nouveaux applicables seront ajoutés à cette liste après avoir été examinés et déterminés à ne présenter aucun risque pour le appliance. Cet article consolide également les vulnérabilités des articles existants qui ont déjà été examinés.
FAUT Les nouveaux applicables seront ajoutés à cette liste après avoir été examinés et déterminés à ne présenter aucun risque pour le appliance. Cet article consolide également les vulnérabilités des articles existants qui ont déjà été examinés.
Per ricevere notifiche email quando l'articolo viene aggiornato, fare clic su Sottoscrivi sul lato destro della pagina. Per sottoscriversi, è necessario effettuare l'accesso.
CVE et Reference | Description | Commentaire |
CVE-2014-0094 CVE-2016-3087 CVE-2017-5638 CVE-2017-9805 |
CVE-2014-0094 a été signalé pour Apache entretoises : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094 ParametersInterceptor dans Apache entretoises avant 2.3.16.1 permet aux attaquants à distance de manipuler ClassLoader via le paramètre Class, qui est transmis à la méthode getClass. CVE-2016-3087 a été signalé pour Apache entretoises : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3087 Apache des entretoises 2.3.20.x avant 2.3.20.3, 2.3.24.x avant 2.3.24.3, et 2.3.28.x avant 2.3.28.1, lorsque l’invocation dynamique de méthode est activée, autorisez les attaquants à distance à exécuter du code arbitraire via des vecteurs associés à un opérateur point d’exclamation ( !) dans le plug-in REST. CVE-2017-5638 a été signalé pour Apache entretoises : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638 L’analyseur syntaxique Jakarta en plusieurs parties dans Apache entretoises 2 2.3.x avant 2.3.32 et 2.5.x avant 2.5.10.1 le chargement du fichier est correctement géré. Cette mauvaise manipulation permet à des attaquants distants d’exécuter des commandes arbitraires via une chaîne #cmd = dans un en-tête HTTP de type contenu spécialement conçu, comme exploité en naturel en mars 2017. CVE-2017-9805 a été signalé pour Apache entretoises : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9805 Le plug-in REST dans Apache entretoises 2.1.2 parcours 2.3.x avant 2.3.34 et 2.5.x avant 2.5.13 utilise un XStreamHandler avec un instance de XStream pour la désérialisation, sans aucun filtrage de types. Cette utilisation peut entraîner l’exécution de code à distance lors de la désérialisation des charges utiles XML. |
McAfee Email Gateway 7.x (Mo) utilise le serveur HTTP Apache 2, mais le appliance n’utilise pas Apache entretoises. Par conséquent, méga 7.x n’est pas vulnérable à ces vulnérabilités. |
CVE-2016-5018 CVE-2016-6794 CVE-2016-6796 CVE-2016-6797 CVE-2016-0762 1165759 |
CVE-2016-5018 : Un application Web malveillant était en mesure de contourner un SecurityManager configuré à l’aide d’une méthode d’utilitaire Tomcat qui était accessible aux applications Web. Pour plus d’informations, reportez-vous aux sections suivantes : http://www.openwall.com/lists/oss-security/2016/10/27/9 CVE-2016-6794 : Lors de la configuration d’un SecurityManager, la capacité d’un application Web à lire les propriétés du système doit être contrôlée par le SecurityManager. La fonctionnalité de remplacement de propriété système de Tomcat pour les fichiers de configuration pouvait être utilisée par un application Web malveillant pour contourner la propriété SecurityManager et lire les propriétés du système qui ne doivent pas être visibles. CVE-2016-6796 : Un application Web malveillant était en mesure de contourner un SecurityManager configuré par la manipulation des paramètres de configuration du servlet JSP. CVE-2016-6797 : ResourceLinkFactory n’a pas limité l’accès Web application aux ressources JNDI globales aux ressources explicitement liées au application Web. Il était donc possible pour un application Web d’accéder à n’importe quelle ressource JNDI globale, qu’une ResourceLink explicite ait été configurée ou non. CVE-2016-0762 Les implémentations de domaine n’ont pas traité le mot de passe fourni si le nom d’utilisateur fourni n’existait pas. Par conséquent, il est possible d’effectuer une attaque par le temps pour déterminer les noms d’utilisateur valides. La configuration par défaut inclut le LockOutRealm qui complique l’exploitation de cette vulnérabilité. Pour plus d’informations sur ces vulnérabilités, reportez-vous aux sections suivantes : https://tomcat.apache.org/security-7.html |
CVE-2016-6797 : MWG n’autorise ni ne prend en charge le déploiement d’applications Web tierces. De plus, MWG Manager n’utilise pas de ressources JNDI (globale ou explicite liée). CVE-2016-5018, CVE-2016-6794 ou CVE-2016-6796 : MWG n’autorise ni ne prend en charge le déploiement d’applications Web tierces. par conséquent, les applications Web malveillantes ne peuvent pas exploit ces vulnérabilités. CVE-2016-0762 : Le gestionnaire MWG utilise l’implémentation de domaine de Apache Tomcat. |
CVE-2014-1568 1013040 |
CVE-2014-1568 : Vulnérabilité dans la vulnérabilité liée à la bibliothèque de chiffrement de Mozilla Network Security Services (NSS). Mozilla Network Security Services (NSS) avant 3.16.2.1, 3.16.x avant 3.16.5, et 3.17.x avant 3.17.1, telle qu’utilisée dans Mozilla Firefox avant 32.0.3, Mozilla Firefox ESR 24.x avant 24.8.1 et 31.x avant 31.1.1, Mozilla Thunderbird avant 24.8.1 et 31.x avant 31.1.2, Mozilla le singe de l’avant 2.29.1, Google Chrome avant 37.0.2062.124 sur Windows et OS X et Google Chrome système d’exploitation avant 37.0.2062.120. Ces versions n’analysent pas correctement les valeurs ASN. 1 des certificats X. 509. Il en résulte qu’il est plus facile pour les attaquants distants d’usurper des signatures RSA via un certificat spécialement conçu, c’est-à-dire un problème de type « signature malleability ». Pour plus d’informations, reportez-vous aux sections suivantes : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1568 |
|
CVE-2015-5477 1083675 |
CVE-2015-5477 : Ce problème est lié à une vulnérabilité liée au type BIND causée par une erreur de gestion des requêtes TKEY qui peut provoquer la fermeture du nom avec un échec d’assertion obligatoire. Pour plus d’informations, reportez-vous aux sections suivantes : https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5477 |
MWG utilise une version BIND affectée par ce problème. Cependant, dans l’implémentation de MWG, il n’existe aucun moyen de exploit le problème, car le nom est exécuté sur l’interface de bouclage uniquement. Les seuls clients pointant vers named sont le résolveur de stub glibc local et MWG uDNS. Il n’existe aucun moyen de créer une requête TKEY à l’aide du résolveur de stub glibc ou de MWG uDNS par des attaquants étrangers. MWG importe probablement un package de liaison fixe dans une version ultérieure, mais il n’y a aucune urgence, car MWG n’est pas vulnérable. Veuillez Ces informations étaient précédemment hébergées dans l’article KB85342. |
CVE-2015-1635 |
CVE-2015-1635 : Une vulnérabilité Microsoft avec le pilote de noyau http. sys utilisé dans un grand nombre de ses systèmes d’exploitation. Les systèmes d’exploitation concernés incluent Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1et Windows Server 2012 Gold et R2. Http. sys est le pilote en mode noyau qui gère les demandes HTTP. Cette vulnérabilité permet potentiellement l’exécution de code à distance si un attaquant envoie une demande HTTP spécialement conçue à un système Windows concerné. La vulnérabilité survient lorsque le composant http. sys analyse de manière incorrecte des demandes HTTP spécialement conçues incluant un en-tête HTTP « Range » avec une valeur très élevée. Les serveurs Web Microsoft IIS sont un logiciel serveur couramment utilisé, connu pour être vulnérable. Toutefois, tous les logiciels qui utilisent le pilote du noyau http. sys peuvent être vulnérables. Pour plus d’informations, reportez-vous aux sections suivantes : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635. |
MWG protège votre environnement par défaut lorsque vous mettez en œuvre la stratégie par défaut de MWG. Le jeu de règles Gateway anti-malware de l’MWG inclut une règle nommée supprimer le contenu partiel pour les demandes HTTP (s), ce qui supprime l’en-tête de la plage pour empêcher les téléchargements partiels. En plus de protéger les utilisateurs finaux contre cette vulnérabilité, la suppression de l’en-tête de plage permet également à MWG d’analyser le fichier HTTP ou HTTPs complet. De cette manière, le contenu malveillant distribué sur plusieurs parties d’un fichier peut être détecté. Si vous n’utilisez pas les règles par défaut Gateway les règles de protection contre les logiciels malveillants, vous pouvez ajouter la règle supprimer le contenu partiel pour les demandes HTTP (s) à votre stratégie pour sécuriser toutes les installations Windows. Vous pouvez importer le jeu de règles par défaut Gateway anti-malware à partir de la bibliothèque de jeux de règles ou utiliser la capture d’écran jointe pour créer vous-même une règle. Veuillez Ces informations étaient précédemment hébergées dans l’article KB84520. |
CVE-2015-1793 1078983 |
CVE-2015-1793 : La fonction X509_verify_cert dans le chiffrement/x509/x509_vfy. c dans OpenSSL 1.0.1/n/nLa 1.0.1o 1.0.2b, et 1.0.2c ne traite pas correctement les contraintes de base X. 509 en matière de valeurs d’autorité de certification lors de l’identification de chaînes de certificats alternatives. En conséquence, il permet à des attaquants distants d’usurper un rôle d’autorité de certification et de déclencher des vérifications de certificat inattendues via un certificat feuille valide. Pour plus d’informations, reportez-vous aux sections suivantes : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793 |
Le Gateway Web n’est pas vulnérable à ce problème. Aucune version prise en charge de Gateway Web n’utilise la version OpenSSL concernée. Veuillez Ces informations étaient précédemment hébergées dans l’article KB85206. |
CVE-2016-0800 1124041 |
CVE-2016-0800 : Protocole SSLv2, tel qu’il est utilisé dans OpenSSL avant 1.0.1s et 1.0.2 avant 1.0.2g et d’autres produits requièrent un serveur pour envoyer un message ServerVerify avant d’établir qu’un client possède certaines données RSA en texte brut. Le résultat est qu’il permet aux attaquants distants de déchiffrer des données codées TLS plus facilement, en tirant parti d’une attaque Bleichenbacher RSA, alias une attaque de type noyer. Pour plus d'informations, consulter : |
MWG n’est pas concerné par cette vulnérabilité, car il ne prend pas en charge SSLv2. Veuillez Ces informations étaient précédemment hébergées à l’article KB86748 |
CVE-2015-4000 1067091 |
CVE-2015-4000 : Protocole TLS 1.2 et les versions antérieures, lorsqu’un DHE_EXPORT ciphersuite est activé sur un serveur, mais pas sur un client, il ne communique pas correctement un DHE_EXPORT choix. En conséquence, il permet aux attaquants de l’intercepteur (Man-in-the-Middle) de conduire des attaques par régression de chiffrement en réécrivant un ClientHello avec DHE remplacé par DHE_EXPORT, puis en réécrivant un ServerHello avec DHE_EXPORT remplacé par DHE, alias du problème logjam. Pour plus d’informations, reportez-vous aux sections suivantes : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000 |
MWG n’est pas vulnérable à ce problème. Toutes les versions de MWG utilisent des clés DH avec une force de 1024 bits ou plus. Veuillez Ces informations étaient précédemment hébergées dans l’article KB84890. |
CVE-2015-3197 CVE-2016-0701 1119566 |
CVE-2015-3197 : SSL/s2_srvr. c dans OpenSSL 1.0.1 avant 1.0.1r et 1.0.2 avant 1.0.2f n’empêche pas l’utilisation des chiffrements désactivés, ce qui permet aux attaquants de l’intercepteur (Man-in-the-Middle) de contrecarrer les mécanismes de protection cryptographique en effectuant des calculs sur le trafic SSLv2, associés aux fonctions get_client_master_key et get_client_hello. Pour plus d’informations, reportez-vous aux sections suivantes : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197 CVE-2016-0701 : La fonction DH_check_pub_key dans le chiffrement/DH/dh_check. c dans OpenSSL 1.0.2 avant 1.0.2f ne veille pas à ce que les nombres premiers soient adaptés à l’échange de clés Diffie-Hellman (DH). Le résultat est qu’il permet aux attaquants distants de découvrir un exposant privé DH privé en effectuant plusieurs négociations avec un homologue qui a choisi un nombre inapproprié, comme le montre un nombre dans un X.9.42 pièces. Pour plus d’informations, reportez-vous aux sections suivantes : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701 |
MWG n’est pas vulnérable à ces problèmes : MWG a déjà défini SSL_OP_NO_SSLv2 à tous les emplacements, de sorte que MWG n’est pas vulnérable à CVE-2015-3197. MWG utilise OpenSSL 1.0.1p-1, qui n’est pas vulnérable à CVE-2016-0701, car la version ne prend pas en charge X9.42paramètres basés sur les paramètres. MWG a importé une package OpenSSL fixe dans les versions suivantes :
Veuillez Ces informations étaient précédemment hébergées dans l’article KB86552. |
Soluzione
Nota: Tutte le future funzionalità o rilasci di prodotto menzionati nella Knowledge base hanno lo scopo di delineare la nostra direzione generale del prodotto e non devono essere invocati, come impegno o quando si effettua una decisione di acquisto.
Allegato
Dichiarazione di non responsabilità
Il contenuto di questo articolo è stato scritto in inglese. In caso di differenze tra il contenuto in inglese e la traduzione, fare sempre riferimento al contenuto in iglese. Parte del contenuto è stata tradotta con gli strumenti di traduzione automatica di Microsoft.
Prodotti interessati
Lingue:
Questo articolo è disponibile nelle seguenti lingue: