McAfee サステイニング ステートメント
日付: 2018 年 9 月 11 日

このドキュメントでは、McAfee ブランドのアプリケーションのサポートに関連する McAfee のサステイニング エンジニアリングの立場について説明します。 CVE-2018-0732 および CVE-2018-0737 OpenSSL の脆弱性に対する McAfee 対応です。

概要
このドキュメントは、ePolicy Orchestrator と OpenSSL の脆弱性に関する懸念について取扱います。
OpenSSL セキュリティ アドバイザリは次の場所で公開されています:

• https://www.openssl.org/news/secadv/20180612.txt
• https://www.openssl.org/news/secadv/20180416.txt

説明

• CVE-2018-0732:
  DH(E) ベースの暗号スイートを使用する TLS ハンドシェイクの鍵共有の際に、不正なサーバーが過度に大きいプライム値をクライアントに送信します。 このアクションにより、クライアントがこのプライムの鍵生成に非常に時間がかかり、終了するまでハングします。
  これは、DoS 攻撃として悪用される可能性があります。
  
• CVE-2018-0737:
  OpenSSL RSA キー生成アルゴリズムに、キャッシュ タイミング サイド チャネル攻撃の可能性があります。 RSA 鍵生成が行われるプロセスで、キャッシュ タイミング攻撃を仕掛けるための充分なアクセスが出来る攻撃者は、プライベート鍵を復元することが可能です。

• CVE-2018-0732 - ePO は、OpenSSL を実行している不正なサーバーに TLS 接続を しません。従って、この CVE は当てはまりません。
• CVE-2018-0737 - ePO は、RSA キーの生成を根本的に RSA BSAFE 暗号化プロパイダに依存しているので、OpenSSL を使用しません。