McAfee d’une instruction
de maintien
Date : 11 septembre 2018
Ce document décrit McAfee position du maintien par rapport à la prise en charge d’une application McAfee de marque. McAfee réponse aux vulnérabilités OpenSSL CVE-2018-0732 et CVE-2018-0737.
Présentation
Ce document aborde les préoccupations liées à ePolicy Orchestrator et aux vulnérabilités liées à OpenSSL.
L’avis de sécurité d’OpenSSL est publié aux emplacements suivants :
Description du problème
- CVE-2018-0732 :
Au cours d’un accord de clé, dans le cadre d’une liaison TLS utilisant un suite de chiffrement DH (E), un serveur malveillant peut envoyer une grande valeur de type premier au client. Cette action permet au client de consacrer trop de temps à la génération d’une clé pour cette prime, ce qui entraîne un blocage jusqu’à ce que le client ait terminé.
Ce processus peut être exploité par le biais d’une attaque par déni de service.
- CVE-2018-0737 :
L’algorithme de génération de clés RSA d’OpenSSL s’est révélé vulnérable à une attaque par canal latéral à cache temps. Un attaquant disposant d’un accès suffisant pour monter cache les attaques de temporisation au cours du processus de génération de la clé RSA pouvait récupérer la clé privée.
Recherches et conclusions
L’équipe d’ingénierie ePO a étudié ces vulnérabilités et a déterminé qu’elles n’affectent
pas ePO.
- CVE-2018-0732- ePO n’effectue aucune connexion TLS à un serveur malveillant s’exécutant sur OpenSSL et, par conséquent, la CVE n’est pas applicable.
- CVE-2018-0737-ePO se base sur le fournisseur de chiffrement RSA BSAFE sous-jacent pour la génération de clés RSA et n’utilise pas OpenSSL.