Declaración
de sostenimiento de McAfee
Fecha: 11 de septiembre de 2018
Este documento describe McAfee la posición de mantenimiento en relación con la compatibilidad de una aplicación de marca de McAfee. McAfee Response a las vulnerabilidades de OpenSSL CVE-2018-0732 y CVE-2018-0737.
Descripción general
En este documento se abordan los problemas relacionados con ePolicy Orchestrator y las vulnerabilidades de OpenSSL.
El aviso de seguridad de OpenSSL se publica en las siguientes ubicaciones:
Descripción
- CVE-2018-0732:
Durante el acuerdo de claves, en un protocolo de enlace TLS que utiliza un cifrado basado en DH (E) suite, un servidor malicioso puede enviar un valor Primo grande al cliente. Esta acción hace que el cliente dedique un tiempo inrazonablemente largo a generar una clave para esta prima, lo que provoca un bloqueo hasta que el cliente ha finalizado.
Este proceso se podría aprovechar en un ataque de denegación de servicio.
- CVE-2018-0737:
Se ha demostrado que el algoritmo de generación de claves de OpenSSL RSA es vulnerable a un ataque de canal en tiempo de almacenamiento de la caché. Un atacante con acceso suficiente para montar ataques de tiempo de caché durante el proceso de generación de claves RSA podría recuperar la clave privada.
Investigación y conclusiones
El equipo de ingeniería de ePO ha investigado estas vulnerabilidades
y ha determinado que no afecta a ePO.
- CVE-2018-0732: ePO no realiza ninguna conexión TLS a un servidor malicioso que se ejecuta en OpenSSL y, por lo tanto, no se aplica el CVE.
- CVE-2018-0737: ePO se basa en el proveedor de cifrado RSA BSAFE subyacente para la generación de claves RSA y no utiliza OpenSSL .
