In questo documento viene descritta la posizione di supporto dell'ingegneria di sostegno, relativamente a un'applicazione McAfee Enterprise.
McAfee risposta Enterprise alle intestazioni di sicurezza HTTP mancanti e CWE-693:
Errore del meccanismo di protezione
Panoramica
Questo documento risolve le preoccupazioni relative alle intestazioni di sicurezza HTTP mancanti segnalate dagli scanner di vulnerabilità su ePO. Esaminare ulteriori informazioni in
CWE-693: errore del meccanismo di protezione.
Descrizione/Controlli
Alcuni scanner di vulnerabilità potrebbero contrassegnare la porta HTTP 8443 e la porta 8444 con la seguente vulnerabilità:
CWE-693 - Protection Mechanism Failure
QID 11827 - HTTP Security Header Not Detected
PluginID 84502 - HSTS Missing From HTTPS Server
Le seguenti intestazioni fanno parte di questa vulnerabilità:
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Content-Security-Policy
- Strict-Transport-Security
Ricerca e conclusioni
Engineering ha studiato questa ricerca e ha concluso che ePO
non è vulnerabile.
- X-Frame-Options: ePO aggiunge X-Frame-Options uses SAMEORIGIN tutte le pagine Web che vengono servite e ePO è protetto dagli clickjacking attacchi.
- X-XSS-Protection: L'iniezione e il rendering XSS vengono mitigati in più livelli in ePO. I dati non affidabili o forniti dall'utente vengono memorizzati correttamente (se necessario) e sottoposti a escape (codificati) durante il rendering per impedire gli attacchi XSS. ePO si occupa della prevenzione degli XSS senza l'utilizzo di X-XSS-Protection header.
- X-Content-Type-Options: La maggior parte dei contenuti ePO ha un tipo di contenuto preciso. Tutti i contenuti che non hanno tipo di contenuto sono statici, gestiti da ePO/MFS. Il contenuto caricato dall'utente ha il tipo di contenuto appropriato per evitare che MIMIe-sniffing. Inoltre, Chrome e Internet Explorer erano inclini a MIME sniffing, ma con la versione più recente di Chrome e Internet Explorer, MIME Sniff non è possibile.
- Content-Security-Policy: ePO non serve alcun file HTML che utilizza script caricati da origini esterne, quindi la mancanza di questa intestazione non ha alcun effetto sul contenuto che viene servito.
- Strict-Transport-Security: Eseguire l'aggiornamento a ePO 5.10 Update 9 o versioni successive. Vedi KB93817-come verificare che il protocollo http Strict Transport Security (HTTPS) sia installato.
Esclusione di responsabilità
Le prossime date di versione prodotto menzionate nella presente dichiarazione hanno lo scopo di delineare la nostra direzione generale del prodotto. Non devono essere invocati nel prendere una decisione di acquisto:
- Le date di versione prodotto sono solo a scopo informativo e potrebbero non essere integrate in alcun contratto.
- Le date di versione prodotto non sono un impegno, una promessa o un obbligo legale di fornire materiale, codice o funzionalità.
- Lo sviluppo, il rilascio e la tempistica di qualsiasi funzionalità o funzionalità descritta per i nostri prodotti, rimangono a nostra esclusiva discrezione. Possono essere modificate o annullate in qualsiasi momento.