Lista consolidada de vulnerabilidades que não representam um risco para a Web Gateway appliance
Artigos técnicos ID:
KB88086
Última modificação: 2021-09-24 04:58:42 Etc/GMT
Última modificação: 2021-09-24 04:58:42 Etc/GMT
Ambiente
McAfee Web Gateway (MWG)
Resumo
A tabela a seguir lista as vulnerabilidades (CVEs) que Suporte técnico investigadas e concluídas não representam nenhum risco para o MWG appliance quando instalado em uma configuração compatível.
Important Novos CVEs serão adicionados a essa lista depois que eles forem investigados e determinados para não apresentarem nenhum risco para o appliance. Este artigo também consolida vulnerabilidades de artigos existentes que foram investigados anteriormente.
Important Novos CVEs serão adicionados a essa lista depois que eles forem investigados e determinados para não apresentarem nenhum risco para o appliance. Este artigo também consolida vulnerabilidades de artigos existentes que foram investigados anteriormente.
Para receber notificações por e-mail quando este artigo for atualizado, clique em Assinar na lateral direita da página. Você deve estar conectado para assinar.
CVE e referências | Descrição | Comentário |
CVE-2014-0094 CVE-2016-3087 CVE-2017-5638 CVE-2017-9805 |
CVE-2014-0094 foi relatado em relação ao Apache Struts: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094 O ParametersInterceptor no Apache Struts antes 2.3.16.1 permite que atacantes remotos manipulem o carregador de classes por meio do parâmetro de classe, que é passado para o método GetClass. CVE-2016-3087 foi relatado em relação ao Apache Struts: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3087 Apache Struts 2.3.20.x após 2.3.20.3, 2.3.24.x após 2.3.24.3, e 2.3.28.x após 2.3.28.1Quando a invocação de método dinâmico está ativada, permita que atacantes remotos executem códigos arbitrários por meio de vetores relacionados a um operador de ponto de exclamação (!) para o plug-in REST. CVE-2017-5638 foi relatado em relação ao Apache Struts: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638 O analisador de várias partes de Jacarta no Apache Struts 2 2.3.x após 2.3.32 em 2.5.x após 2.5.10.1 o upload do arquivo está indisponível. Isso incorretamente permite que atacantes remotos executem comandos arbitrários por meio de uma cadeia de #cmd = em um cabeçalho HTTP de tipo de conteúdo criado, como explorado na solta em 2017 de março. CVE-2017-9805 foi relatado em relação ao Apache Struts: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-9805 O plug-in REST no Apache Struts 2.1.2 no 2.3.x após 2.3.34 em 2.5.x após 2.5.13 usa um XStreamHandler com uma instância de XStream para desserialização sem qualquer filtragem de tipo. Esse uso pode levar à execução remota de código durante a desserialização de cargas XML. |
McAfee Email Gateway 7.x (MEG) usa o servidor HTTP Apache 2, mas o appliance não usa o Apache Struts. Então, MEG 7.x o não é vulnerável a essas vulnerabilidades. |
CVE-2016-5018 CVE-2016-6794 CVE-2016-6796 CVE-2016-6797 CVE-2016-0762 1165759 |
CVE-2016-5018: Um aplicativo da Web malicioso pôde burlar um SecurityManager configurado por meio de um método de utilitário do Tomcat que estava acessível para aplicativos da Web. Para obter mais informações, consulte: http://www.openwall.com/lists/oss-security/2016/10/27/9 CVE-2016-6794: Quando um SecurityManager é configurado, a capacidade de um aplicativo da Web ler as propriedades do sistema deve ser controlada pelo SecurityManager. O recurso de substituição de propriedades do sistema do Tomcat para arquivos de configuração pode ser usado por um aplicativo malicioso da Web para ignorar as propriedades do sistema SecurityManager e ler que não devem estar visíveis. CVE-2016-6796: Um aplicativo da Web malicioso conseguiu burlar um SecurityManager configurado por meio da manipulação dos parâmetros de configuração do servlet JSP. CVE-2016-6797: O ResourceLinkFactory não limitou o acesso de aplicativos da Web a recursos JNDI globais a esses recursos diretamente vinculados ao aplicativo Web. Portanto, era possível que um aplicativo da Web acesse qualquer recurso JNDI global se um ResourceLink explícito tivesse sido configurado ou não. CVE-2016-0762 As implementações de território não processaram a senha fornecida se o nome de usuário fornecido não existisse. Como resultado, ele fez um ataque de tempo possível para determinar nomes de usuário válidos. A configuração padrão inclui o LockOutRealm que torna a exploração da vulnerabilidade mais difícil. Para obter mais informações sobre essas vulnerabilidades, consulte: https://tomcat.apache.org/security-7.html |
CVE-2016-6797: O MWG não permite nem oferece suporte à distribuição de aplicativos Web de terceiros, Além disso, o MWG Manager não usa os recursos de JNDI (vinculados global ou explicitamente). CVE-2016-5018, CVE-2016-6794 ou CVE-2016-6796: O MWG não permite nem oferece suporte à distribuição de aplicativos Web de terceiros, para que aplicativos Web maliciosos não possam explorar essas vulnerabilidades. CVE-2016-0762: O Gerenciador de MWG usa a implementação de território do Apache Tomcat. |
CVE-2014-1568 1013040 |
CVE-2014-1568: Vulnerabilidade na vulnerabilidade de biblioteca de criptografia do Mozilla Network Security Services (NSS). Mozilla os serviços de segurança de rede (NSS) antes 3.16.2.1, 3.16.x após 3.16.5, e 3.17.x após 3.17.1, conforme usado no Mozilla Firefox antes 32.0.3, Mozilla Firefox ESR 24.x após 24.8.1 em 31.x após 31.1.1, Mozilla Thunderbird antes 24.8.1 em 31.x após 31.1.2, Mozilla SeaMonkey antes 2.29.1, Google Chrome antes 37.0.2062.124 em Windows e OS X e Google Chrome sistema operacional antes 37.0.2062.120. Essas versões não analisam corretamente os valores de ASN. 1 em certificados X. 509. O resultado é que é mais fácil para os atacantes remotos falsificarem as assinaturas da RSA por meio de um certificado criado, ter conhecido um problema de "assinatura malleability". Para obter mais informações, consulte: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-1568 |
|
CVE-2015-5477 1083675 |
CVE-2015-5477: Esse problema é uma vulnerabilidade de associação causada por um erro no tratamento de consultas TKEY que podem fazer com que o nomeado saia com uma falha de declaração requerer. Para obter mais informações, consulte: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-5477 |
O MWG usa uma versão de ligação afetada por esse problema. Mas, na implementação do MWG, não há como explorar o problema porque o nome está sendo executado apenas na interface de loopback. Os únicos clientes que apontam para o nome são o resolvedor de stub de glibc local e o MWG uDNS. Não há como criar uma consulta TKEY usando o resolvedor de stub glibc ou o MWG uDNS por atacantes estrangeiros. O MWG provavelmente importará um pacote de ligação fixo em uma versão futura, mas não há urgência porque o MWG não é vulnerável. INDICADO Essas informações eram anteriormente hospedadas no artigo KB85342. |
CVE-2015-1635 |
CVE-2015-1635: Uma vulnerabilidade de Microsoft com o driver de kernel http. sys usada em muitos de seus sistemas operacionais. Os sistemas operacionais afetados incluem Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8, Windows 8.1e Windows Server 2012 Gold e R2. O http. sys é o driver no modo de kernel que lida com solicitações HTTP. A vulnerabilidade pode permitir a execução remota de código se um atacante enviar uma solicitação HTTP especialmente criada para um sistema de Windows afetado. A vulnerabilidade existe quando o componente http. sys analisa incorretamente solicitações HTTP especialmente criadas que incluem um cabeçalho "Range" HTTP com um valor muito grande. Os Microsoft IIS servidores da Web são um software de servidor comumente usado, conhecido por estar vulnerável. No entanto, qualquer software que use o driver de kernel http. sys pode estar vulnerável. Para obter mais informações, consulte: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1635. |
MWG protege o seu ambiente de fora da caixa ao implementar a política padrão do MWG. O conjunto de regras Antimalware Gateway do MWG inclui uma regra denominada remover conteúdo parcial de solicitações HTTP (s), o que remove o cabeçalho do intervalo para evitar downloads parciais. Além de proteger os usuários finais dessa vulnerabilidade, a remoção do cabeçalho de intervalo também permite que o MWG Verifique o arquivo de HTTP ou HTTPS completo. Dessa forma, o conteúdo malicioso distribuído através de várias partes de um arquivo pode ser detectado. Se você não usar as regras padrão do Antimalware do Gateway, poderá adicionar a regra remover o conteúdo parcial das solicitações HTTP (s) para a sua política para proteger todas as instalações do Windows. Você pode importar o conjunto de regras do Antimalware do Gateway padrão da biblioteca do conjunto de regras ou usar a captura de tela anexada para criar uma regra. INDICADO Essas informações eram anteriormente hospedadas no artigo KB84520. |
CVE-2015-1793 1078983 |
CVE-2015-1793: A função X509_verify_cert em crypto/X509/x509_vfy. c no OpenSSL 1.0.1n 1.0.1o 1.0.2b e 1.0.2c não processa corretamente os valores de autoridade de certificação X. 509 Basic Constraints durante a identificação de cadeias de certificados alternativas. O resultado é que ele permite que atacantes remotos falsifiquem uma função de autoridade de certificação e disparem as verificações de certificado não intencionadas por meio de um certificado de folha válido. Para obter mais informações, consulte: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1793 |
O Gateway da Web não é vulnerável a esse problema. Não há suporte para versões do Web Gateway usar a versão afetada do OpenSSL. INDICADO Essas informações eram anteriormente hospedadas no artigo KB85206. |
CVE-2016-0800 1124041 |
CVE-2016-0800: O protocolo SSLv2, conforme usado no OpenSSL antes 1.0.1s e 1.0.2 após 1.0.2g e outros produtos, o requer um servidor para enviar uma mensagem do ServerVerify antes de estabelecer que um cliente possui determinados dados de texto sem formatação RSA. O resultado é que ele torna mais fácil para os atacantes remotos descriptografarem dados de texto cifrado TLS aproveitando um preenchimento Bleichenbacher RSA Oracle, aka um ataque de afoga. Para mais informações, consulte: |
O MWG não é afetado por esta vulnerabilidade porque não oferece suporte a SSLv2. INDICADO Estas informações eram anteriormente hospedadas no artigo KB86748 |
CVE-2015-4000 1067091 |
CVE-2015-4000: O protocolo TLS 1.2 e antes, quando um DHE_EXPORT ciphersuite está ativado em um servidor, mas não em um cliente, não transmite corretamente uma opção de DHE_EXPORT. O resultado é que ele permite que atacantes Man-in-the-Middle realizem ataques de downgrade de criptografia reescrevendo um ClientHello com o DHE substituído por DHE_EXPORT e, em seguida, reescrevendo uma ServerHello com DHE_EXPORT substituída por DHE, aka o problema do logjam. Para obter mais informações, consulte: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-4000 |
O MWG não é vulnerável a esse problema. Todas as versões do MWG usam chaves DH com um nível forte de 1024 bits ou mais. INDICADO Essas informações eram anteriormente hospedadas no artigo KB84890. |
CVE-2015-3197 CVE-2016-0701 1119566 |
CVE-2015-3197: SSL/s2_srvr. c no OpenSSL 1.0.1 após 1.0.1r e 1.0.2 após 1.0.2f não impede o uso de criptografias desativadas, o que facilita para os atacantes Man-in-the-Middle bloquear mecanismos de proteção criptográfica, realizando comparações no tráfego do SSLv2, relacionado às funções get_client_master_key e get_client_hello. Para obter mais informações, consulte: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197 CVE-2016-0701: A função DH_check_pub_key em crypto/DH/dh_check. c no OpenSSL 1.0.2 após 1.0.2f não garante que os números primos sejam apropriados para a troca de chaves Diffie-Hellman (DH). O resultado é que ele torna mais fácil para os atacantes remotos descobrirem um expoente de DH privado, fazendo vários Handshakes com um ponto que escolheva um número inadequado, como mostrado por um número em um X9.42 arquivo. Para obter mais informações, consulte: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701 |
O MWG não é vulnerável a estes problemas: O MWG já definiu SSL_OP_NO_SSLv2 em todos os locais; portanto, MWG não é vulnerável a CVE-2015-3197. O MWG usa OpenSSL 1.0.1p-1, que não é vulnerável ao CVE-2016-0701 porque a versão não é compatível com X9.42parâmetros baseados em. O MWG importou um pacote do OpenSSL fixo nas seguintes versões:
INDICADO Essas informações eram anteriormente hospedadas no artigo KB86552. |
Solução
Nota: Qualquer versão ou lançamento futuro do produto mencionado na Base de conhecimentos tem como objetivo descrever nossa direção geral de produto e não deve ser confiável, seja como um compromisso, ou ao fazer uma decisão de compra.
Anexo
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
Produtos afetados
Idiomas:
Este artigo está disponível nos seguintes idiomas: