McAfee instrução
de sustentação
Data: 11 de setembro de 2018
Este documento descreve McAfee a posição de sustentação em relação ao suporte de um aplicativo com marca de McAfee. McAfee resposta a vulnerabilidades do OpenSSL CVE-2018-0732 e CVE-2018-0737.
Visão geral
Este documento aborda as preocupações com o ePolicy Orchestrator e as vulnerabilidades do OpenSSL.
O comunicado de segurança do OpenSSL é publicado nos seguintes locais:
Descrição
- CVE-2018-0732:
Durante o contrato de chave, em um handshake de TLS usando um pacote de criptografia baseado em DH (E), um servidor malicioso pode enviar um grande valor principal para o cliente. Essa ação faz com que o cliente gaste um tempo demorado, gerando uma chave para esse primo, o que resultará em uma paralisação até que o cliente tenha terminado.
Esse processo pode ser explorado em um ataque de negação de serviço.
- CVE-2018-0737:
O algoritmo de geração de chave do OpenSSL RSA foi mostrado como vulnerável a um ataque de canal do lado cache tempo. Um atacante com acesso suficiente à montagem de cache ataques de tempo durante o processo de geração de chaves RSA pode recuperar a chave privada.
Pesquisa e conclusões
A equipe de engenharia do ePO fez a pesquisa dessas vulnerabilidades e determinou que ela
não afeta o ePO.
- CVE-2018-0732 -o ePO não faz nenhuma conexão TLS com um servidor malicioso em execução no OpenSSL e, portanto, o CVE não é aplicável.
- CVE-2018-0737-o ePO se baseia no provedor de criptografia RSA BSAFE subjacente para a geração de chaves RSA e não usa o OpenSSL.
