本文档介绍了与 McAfee 应用程序保持工程相关的支持位置。
概述
本文档解决了有关 ePO 和 tomcat 漏洞的关注。 此报告反映了 Tomcat 安全顾问中引用的关于 CVE-2018-1304 和 CVE-2018-1305 的问题:
https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.85.
查看国家漏洞数据库中的其他信息:
https://web.nvd.nist.gov。
描述
CVE-2018-1304:
""的 URL 模式(空字符串),其完全映射到上下文根,当用作安全约束定义的一部分时,无法正确处理,导致忽略该约束。 未经授权的用户可以访问其他网络应用程序该条件下保护的受保护的资源。 只有具有空字符串 URL 模式的安全约束受到影响。
CVE-2018-1305:
仅在加载 Servlet 后,才应用 Servlet 注释所定义的安全限制。 以该方式定义的安全约束适用于 URL 模式及下面任何 URL。 根据加载 Servlet 的顺序,可以不应用某些安全限制。 没有权限访问这些用户的用户可能拥有其不应被访问的资源。
研究和结论
ePO 工程团队已研究这些漏洞,确定其会对 ePO 产生最低限度的影响,这是一个低风险问题。 根据我们的使用情况,确定这两种 CVS 的 CVS 分数非常低 -
2.6/2.3(基本/临时分数)。
解决这些问题的计划在下次可用的 ePO 补丁版本中(5.10).
免责声明
此声明中提到的任何未来产品发行日期都旨在给出一个大概的产品方向,不应以此为依据作出购买决定:
- 产品发行日期仅供参考,不得纳入任何合同。
- 产品发行日期不对任何材料、代码或功能的交付作出承诺、保证或承担法律责任。
- 我们产品的开发、发行以及任何功能发布时间由我们全权决定,并保留随时更改或取消的权利。