このドキュメントでは、McAfee Enterprise アプリケーションに関連するサステイニング エンジニアリングのサポート ポジションについて説明します。
不足している HTTP セキュリティ ヘッダーと CWE-693 に対する McAfee Enterprise の対応:
Protection Mechanism Failure
概要
このドキュメントでは、 ePO の脆弱性スキャナーによって報告された HTTP セキュリティ ヘッダーの不足に関する懸念事項について説明します。
CWE-693: Protection Mechanism Failure で追加情報を確認してください。
説明
一部の脆弱性スキャナは HTTP ポート 8443 とポート 8444 に次の脆弱性を付けてタグ付けすることがあります。
CWE-693 - Protection Mechanism Failure
QID 11827 - HTTP Security Header Not Detected
PluginID 84502 - HSTS Missing From HTTPS Server
次のヘッダーはこの脆弱性の一部です。
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Content-Security-Policy
- Strict-Transport-Security
調査と結論
エンジニアリングはこの調査結果を調査し、 ePO は
脆弱ではない と結論付けました。
- X-Frame-Options: ePO は、提供されているすべての Web ページで X-Frame-Options uses SAMEORIGIN を追加し、ePO は clickjacking 攻撃から保護されます。
- X-XSS-Protection: XSS インジェクションとレンダリングは、ePO の複数のレイヤーで軽減されます。 XSS を防止するために、信頼されていないデータまたはユーザが提供したデータは、レンダリング中に適切に格納され (必要な場合) 、エスケープ (エンコード) されます。 ePO は、X-XSS-Protection ヘッダーを使用せずに XSS の防止を処理します。
- X-Content-Type-Options: ほとんどの ePO コンテンツには正確なコンテンツ タイプがあります。 コンテンツ タイプを持たないコンテンツは静的コンテンツであり、ePO/MFS によって管理されます。 ユーザーがアップロードしたコンテンツには、 MIMIE スニッフィングを防止するための適切なコンテンツタイプがあります。 さらに、Chrome と Internet Explorer は MIME スニフを起こしがちでしたが、最新バージョンの Chrome と Internet Explorer では、MIME スニフは不可能です。
- Content-Security-Policy: ePO は、外部ソースからロードされたスクリプトを使用する HTML ファイルを提供しないため、このヘッダーがなくても、提供されるコンテンツに影響はありません。
- Strict-Transport-Security: ePO 5.10 Update 9 以降に更新します。 KB93817 - HTTP Strict Transport Security (HTTPS) がインストールされていることを確認する方法 を参照してください。
免責事項
この声明に記載されている将来の製品リリース日は、当社の一般的な製品の方向性を概説することを目的としています。 それらは購入決定をする際に信頼されてはなりません:
- 製品のリリース日は情報提供のみを目的としており、契約に組み込まれていない場合があります。
- 製品リリース日は、資料、コード、または機能を提供するという約束、約束、または法的義務ではありません。
- 当社の製品について説明されている機能の開発、リリース、およびタイミングは、当社の独自の裁量に委ねられています。 それらはいつでも変更またはキャンセルされる可能性があります。