Ce document décrit la position de support technique de l’ingénierie de secours par rapport à une application McAfee.
Présentation
Ce document traite des problèmes relatifs à ePO et aux vulnérabilités dans Tomcat. Ce rapport reflète les questions relatives à CVE-2018-1304 et CVE-2018-1305, référencées dans le bulletin de sécurité de Tomcat :
https://Tomcat.Apache.org/Security-7.html#Fixed_in_Apache_Tomcat_7.0.85.
Consultez les informations supplémentaires dans la base de données des vulnérabilités nationales :
https://Web.NVD.nist.gov.
Description
CVE-2018-1304 :
Le modèle d’URL de "" (chaîne vide), qui correspond exactement à la racine du contexte, n’était pas correctement géré lorsqu’il était utilisé dans le cadre d’une définition de contrainte de sécurité, ce qui entraînait l’ignorance de la contrainte. Les utilisateurs non autorisés ont la possibilité d’accéder à des ressources Web application qui seraient normalement protégées dans le cadre de cette condition. Seules les contraintes de sécurité avec un modèle d’URL de la chaîne vide ont été affectées.
CVE-2018-1305 :
Les contraintes de sécurité définies par des annotations de servlets n’étaient appliquées qu’après le chargement d’un servlet. Les contraintes de sécurité définies de cette manière s’appliquent au modèle d’URL et à toutes les URL ci-dessous. Selon l’ordre de chargement des servlets, il est possible que certaines contraintes de sécurité ne soient pas appliquées. Les utilisateurs qui ne sont pas autorisés à y accéder peuvent avoir accès aux ressources dont ils ne doivent pas disposer.
Recherches et conclusions
L’équipe d’ingénierie d’ePO a étudié ces vulnérabilités et a déterminé qu’elle pouvait avoir une incidence minime sur ePO et constitue un problème à risque faible. D’après notre utilisation, les scores CVSS déterminés pour ces deux applicables sont très faibles-
2.6/2.3 (base/temporal score).
La résolution de ces problèmes est prévue dans la prochaine version du patch ePO disponible ( 5.10 ).
Exclusion de responsabilité
Toutes les futures dates de publication du produit mentionnées dans cette déclaration sont destinées à présenter notre orientation générale du produit et ne doivent pas être utilisées pour prendre une décision d’achat :
- Les dates de sortie des produits sont données à titre informatif uniquement et ne peuvent être intégrées à aucun contrat.
- Les dates de sortie des produits ne constituent pas un engagement, une promesse ni une obligation légale de fournir un quelconque produit, code ou fonctionnalité.
- Le développement, la mise sur le marché et la chronologie des fonctions et fonctionnalités décrites pour nos produits restent à notre seule discrétion et peuvent être modifiés ou annulés à tout moment.