In questo documento viene descritta la posizione di supporto dell'Engineering di sostegno rispetto a un'applicazione McAfee.
Panoramica
Questo documento affronta le preoccupazioni relative a ePO e alle vulnerabilità Tomcat. Questo rapporto riflette le domande relative a CVE-2018-1304 e CVE-2018-1305, a cui si fa riferimento nell'Advisory sulla sicurezza Tomcat:
https://Tomcat.Apache.org/Security-7.html#Fixed_in_Apache_Tomcat_7.0.85.
Per ulteriori informazioni, consultare il database nazionale delle vulnerabilità:
https://Web.NVD.NIST.gov.
Descrizione
CVE-2018-1304:
Il pattern URL di "" (la stringa vuota), che corrisponde esattamente alla radice del contesto, non è stato gestito correttamente quando viene utilizzato come parte di una definizione del vincolo di sicurezza, causando l'Ignorazione del vincolo. È possibile che gli utenti non autorizzati ottengano l'accesso alle risorse dell'applicazione Web che altrimenti sarebbero protette in questa condizione. Sono stati colpiti solo i vincoli di sicurezza con un pattern URL della stringa vuota.
CVE-2018-1305:
I vincoli di sicurezza definiti dalle annotazioni dei servlet sono stati applicati solo dopo il caricamento di un servlet. I vincoli di sicurezza definiti in questo modo si applicano al pattern URL e a tutti gli URL di seguito. A seconda dell'ordine in cui vengono caricati i servlet, è possibile che alcuni vincoli di sicurezza non vengano applicati. Gli utenti che non sono autorizzati ad accedervi potrebbero avere accesso alle risorse che non dovrebbero.
Ricerca e conclusioni
Il team di Engineering di ePO ha studiato queste vulnerabilità e ha determinato che potrebbe influenzare ePO in modo minimo ed è un problema a basso rischio. Sulla base del nostro utilizzo, i punteggi CVSS determinati per entrambi questi CVE sono molto
2.6Bassi (Punteggio base/temporale2.3 ).
La risoluzione di questi problemi è pianificata nella prossima release di patch di ePO disponibile ( 5.10 ).
Esclusione di responsabilità
Qualsiasi data di rilascio futura del prodotto menzionata nella presente dichiarazione ha lo scopo di delineare la nostra direzione generale del prodotto e non dovrebbe essere invocata nel prendere una decisione di acquisto:
- Le date di rilascio dei prodotti sono indicate a solo scopo informativo e non devono essere incluse in alcun contratto.
- Le date di rilascio dei prodotti non sono un impegno, una promessa o un obbligo legale di rilascio di materiali, codici o funzionalità.
- Lo sviluppo, il rilascio e le tempistiche relative a funzioni o funzionalità descritte per i nostri prodotti sono indicate a nostra esclusiva discrezione e possono essere modificate o annullate in qualsiasi momento.