Apache Tomcat 基金会发布了三个安全公告,概述了影响 Tomcat 7.0.89或更早版本的漏洞。 Tomcat 安全咨询会列出以下 CVEs:
以下是适用于 ePO 的每个 CVEs 的 McAfee 响应。
CVE-2018-8034 and CVE-2018-1336 (SSC1808071)
描述
- CVE-2018-1336
在具有补充字符的 UTF-8 解码器中不正确处理溢出会导致解码器中出现无限循环,导致拒绝服务。
- CVE-2018-8034
缺少与 WebSocket 客户端使用 TLS 时的主机名验证。 默认情况下,它现在处于启用状态。
研究和结论
ePO 工程团队已对此漏洞进行了调查,并根据使用情况确定 ePO 是否易受攻击。 CVE-2018-1336和CVE-2018-8034都与 Tomcat WebSockets 功能相关,ePO 目前不使用该功能,因此 CVE 不适用于 ePO。
CVE-2018-8014 (SSC1807091)
描述
CORS 过滤器的默认设置不安全,并且启用支持所有来源的凭据。 预期 CORS 过滤器的用户已对其环境进行适当的配置,而不是在默认配置中使用。 因此,预计很少有用户受到影响。
研究和结论
ePO 工程团队已对此漏洞进行了调查,并确定它可能会对 ePO 造成最小影响,并且是低风险问题。 根据我们的使用情况和风险因素,为该 CVE 确定的 CVSS 分数为低 - 2.6. ePO 核心产品不使用 Tomcat 的此易受攻击的组件,而且我们也不知道使用此易受攻击的组件的任何 ePO 扩展。 但是,考虑到 ePO 是一个平台,并且这个易受攻击的 Tomcat 组件可供任何 ePO 扩展使用,我们认为它是一个可能的漏洞。 ePO 5.10中提供了此问题的修复程序,可从 McAfee 产品下载页面获得。