Este documento descreve a posição de suporte de manutenção de engenharia em relação a um aplicativo de McAfee.
Visão geral
Este documento aborda as preocupações com o ePO e as vulnerabilidades do Tomcat. Este relatório reflete as perguntas sobre o CVE-2018-1304 e o CVE-2018-1305, referenciados no comunicado de segurança do Tomcat:
https://Tomcat.Apache.org/Security-7.html#Fixed_in_Apache_Tomcat_7.0.85.
Revise as informações adicionais no National Vulnerability Database:
https://Web.NVD.NIST.gov.
Descrição
CVE-2018-1304:
O padrão de URL do "" (a cadeia de caracteres vazia), que é mapeado exatamente para a raiz de contexto, não foi tratado corretamente quando usado como parte de uma definição de restrição de segurança, fazendo com que a restrição seja ignorada. É possível que usuários não autorizados obtenham acesso a recursos de aplicativos da Web que poderiam ser protegidos, de outra forma, sob essa condição. Somente restrições de segurança com um padrão de URL da cadeia de caracteres vazia foram afetadas.
CVE-2018-1305:
As restrições de segurança definidas pelas anotações dos servlets eram aplicadas somente após o carregamento de um servlet. As restrições de segurança definidas dessa maneira se aplicam ao padrão de URL e a qualquer uma das URLs abaixo. Dependendo dos servlets de pedidos serem carregados, é possível que algumas restrições de segurança não sejam aplicadas. Os usuários que não têm autorização para acessá-los podem ter acesso a recursos que não deveriam ter.
Pesquisa e conclusões
A equipe de engenharia do ePO fez a pesquisa dessas vulnerabilidades e determinou que isso pode afetar minimamente o ePO e é um problema de baixo risco. Com base em nosso uso, as pontuações CVSS determinadas para ambos os CVEs são muito baixas-
2.6/2.3 (Pontuação de base/temporal).
A solução para esses problemas está planejada na próxima versão do patch disponível do ePO ( 5.10 ).
Isenção
Todas as datas de lançamento de produto futuras mencionadas nesta declaração destinam-se a descrever nossa direção geral de produto e não devem ser confiadas na tomada de uma decisão de compra:
- As datas de lançamento de produtos são apenas para fins informativos e podem não ser incorporadas a nenhum contrato.
- As datas de lançamento de produtos não são um compromisso, uma promessa ou uma obrigação legal de fornecer qualquer material, código ou funcionalidade.
- O desenvolvimento, lançamento e data de quaisquer recursos ou funcionalidades descritas para nossos produtos ocorrem segundo nosso critério exclusivo e podem ser alteradas ou canceladas a qualquer momento.