En este documento se describe la posición de soporte de la ingeniería con respecto a una aplicación McAfee.
Descripción general
En este documento se abordan los problemas relacionados con ePO y las vulnerabilidades de Tomcat. Este informe refleja las preguntas sobre los CVE-2018-1304 y CVE-2018-1305, a los que se hace referencia en el documento de información sobre seguridad de Tomcat:
https://Tomcat.apache.org/Security-7.html#Fixed_in_Apache_Tomcat_7.0.85.
Revise la información adicional en la base de datos de vulnerabilidades nacional:
https://Web.NVD.NIST.gov.
Descripción
CVE-2018-1304:
El patrón de URL de "" (la cadena vacía), que se asigna exactamente a la raíz de contexto, no se administraba correctamente cuando se utilizaba como parte de una definición de restricción de seguridad, lo que provocaba que se omitiera la restricción. Es posible que usuarios no autorizados obtengan acceso a recursos de aplicaciones web que, de otro modo, estarían protegidos en esta condición. Solo se vieron afectadas las restricciones de seguridad con un patrón de URL de la cadena vacía.
CVE-2018-1305:
Las restricciones de seguridad definidas por las anotaciones de Servlets solo se aplicaban después de que se hubiera cargado un servlet. Las restricciones de seguridad definidas de esta forma se aplican al patrón de URL y a todas las URL que se indican a continuación. Dependiendo del orden en que se carguen los Servlets, es posible que no se apliquen algunas restricciones de seguridad. Los usuarios que no estén autorizados para acceder a ellos podrían tener acceso a los recursos que no deberían.
Investigación y conclusiones
El equipo de ingeniería de ePO ha investigado estas vulnerabilidades y ha determinado que podría afectar a ePO como mínimo y es un problema de riesgo bajo. Según nuestro uso, las calificaciones de CVSS determinadas para ambos CVE son muy bajas
2.6//2.3 (calificación base/temporal).
La solución para estos problemas se ha planificado en la próxima publicación de parches de ePO disponible ( 5.10 ).
Renuncia
Todas las fechas de lanzamiento de producto futuras que se mencionan en esta declaración tienen como objetivo describir nuestra dirección general del producto y no se debe confiar en ella para tomar una decisión de compra:
- Las fechas de lanzamiento de los productos tienen un propósito meramente informativo, por lo que no se pueden incorporar en ningún contrato.
- Las fechas de lanzamiento de los productos no constituyen ningún compromiso, promesa ni obligación legal de entregar materiales, códigos o funcionalidades de ningún tipo.
- El desarrollo, el lanzamiento y las fechas de cualquier función o funcionalidad descritos para nuestros productos queda a nuestra entera discreción, por lo que podrán cambiarse o cancelarse en cualquier momento.