McAfee 持续声明
日期:2018年9月11日
本文档介绍了与 McAfee 品牌应用程序支持相关的 McAfee 维持位置。 McAfee 对 OpenSSL 漏洞 CVE-2018-0732 和 CVE-2018-0737 的响应。
概述
此文档解决了有关 ePolicy Orchestrator 和 OpenSSL 漏洞的问题。
OpenSSL Security 咨询会在以下位置发布:
描述
- CVE-2018-0732:
在密钥协商期间,在使用基于 DH(E) 的密码套件的 TLS 握手中,恶意服务器可以向客户端发送大的素数。 此操作会导致客户端花费不合理的长时间为该素数生成密钥,从而导致挂起,直至客户端完成。
此过程可在拒绝服务攻击中利用。
- CVE-2018-0737:
OpenSSL RSA 密钥生成算法已被证明易受缓存定时侧通道攻击的攻击。 在 RSA 密钥生成过程中,有足够访问安装缓存定时攻击的攻击者可以恢复私钥。
研究和结论
ePO 工程团队已对这些漏洞进行了研究,并确定其是否
不影响 ePO。
- CVE-2018-0732 - ePO 不会与运行在 OpenSSL 上运行的恶意服务器建立任何 TLS 连接,因此 CVE 不适用。
- CVE-2018-0737 - ePO 依赖于基础 RSA BSAFE 加密提供程序来生成 RSA 密钥,并且不使用 OpenSSL。