Dichiarazione
di sostegno McAfee
Data: 11 settembre 2018
Il presente documento descrive McAfee posizione di supporto relativamente all'assistenza di un'applicazione a marchio McAfee. McAfee risposta alle vulnerabilità di OpenSSL-CVE-2018-0732 e CVE-2018-0737.
Panoramica
Questo documento affronta le preoccupazioni relative a ePolicy Orchestrator e alle vulnerabilità di OpenSSL.
L'Advisory per la sicurezza OpenSSL viene pubblicato nei seguenti percorsi:
Descrizione
- CVE-2018-0732:
Durante il contratto chiave, in un handshake TLS utilizzando un suite cifrato DH (E), un server dannoso può inviare un grande valore principale al client. Questa azione fa sì che il client spenda un tempo irragionevolmente lungo per generare una chiave per questo numero primo, con conseguente blocco fino al completamento del client.
Questo processo potrebbe essere sfruttato in un attacco Denial of Service.
- CVE-2018-0737:
L'algoritmo di generazione delle chiavi di OpenSSL RSA ha dimostrato di essere vulnerabile a un attacco di canale laterale cache timing. Un aggressore con accesso sufficiente a Mount cache gli attacchi di temporizzazione durante il processo di generazione delle chiavi RSA potrebbe recuperare la chiave privata.
Ricerca e conclusioni
Il team di ePO Engineering ha studiato queste vulnerabilità e ha determinato
che non influisce su ePO .
- CVE-2018-0732-ePO non effettua alcuna connessione TLS a un server malevolo in esecuzione su OpenSSL e quindi l' CVE non è applicabile.
- CVE-2018-0737-ePO si basa sul provider di crittografia RSA BSAFE sottostante per la generazione di chiavi RSA e non utilizza OpenSSL.
