Este documento describe McAfee la posición de mantenimiento en relación con la compatibilidad de una aplicación de marca de McAfee.
McAfee Response a las vulnerabilidades de OpenSSL CVE-2019-1552, CVE-2019-1547 y CVE-2019-1563.
Descripción general
Este documento aborda las preocupaciones sobre ePolicy Orchestrator (ePO) y las vulnerabilidades de OpenSSL. Se hace referencia a estas vulnerabilidades en el aviso de seguridad de OpenSSL publicado aquí:
Presentan
- CVE-2019-1552 (gravedad: baja)
OpenSSL tiene valores predeterminados internos para un árbol de directorios donde puede encontrar un archivo de configuración y certificados utilizados para la verificación en TLS. Este directorio se conoce comúnmente como OPENSSLDIR y se puede configurar con las opciones de-prefix / --openssldir configuración.
En el caso de las versiones 1.1.0 de OpenSSL y 1.1.1 los destinos de configuración asumen que los mingw programas y bibliotecas resultantes se instalan en un entorno similar a Unix. Que el prefijo predeterminado de instalación de programas, así como de OPENSSLDIR, debe ser ' /usr/local '. No obstante, mingw los programas son Windows programas y, como tal, buscan ellos mismos en los subdirectorios de, que pueden ser de 'C:/usr/local' escritura mundial, lo que permite a los usuarios no de confianza modificar la configuración predeterminada de OpenSSL, insertar certificados de CA, modificar (o incluso sustituir) los módulos del motor existentes. En el caso de OpenSSL 1.0.2 , '/usr/local/SSL ' se utiliza como predeterminado para OPENSSLDIR en todos los destinos UNIX y Windows, incluidas las compilaciones de Visual C. No obstante, algunas instrucciones de compilación para los objetivos de Windows diversos de 1.0.2 le animamos a que especifique su propia --prefix información.
Versiones 1.1.1 de 1.1.0 OpenSSL y 1.0.2 se ven afectadas. Debido al alcance limitado de los despliegues afectados, esta vulnerabilidad en cuestión se ha evaluado como gravedad baja.
- CVE-2019-1547 (gravedad: baja)
Normalmente en los grupos de OpenSSL EC, siempre tienen un cofactor de coautoría, que se utiliza en las rutas de código resistente al canal lateral. No obstante, en ocasiones, es posible construir un grupo mediante parámetros explícitos (en lugar de utilizar una curva con nombre). En esos casos, es posible que ese grupo no tenga el cofactoring presente. Este problema puede producirse incluso cuando todos los parámetros coinciden con una curva con nombre conocida. Si se utiliza una curva de este tipo, OpenSSL recurre a rutas de código resistente al canal no lateral, lo cual puede provocar una recuperación de claves completa durante una operación de firma ECDSA. A fin de ser vulnerable, un atacante necesitaría la capacidad de crear un gran número de firmas. Si hay parámetros explícitos sin co-factor presentes, están siendo utilizados por una aplicación que utiliza libcrypto. Para evitar dudas, libssl no es vulnerable porque los parámetros explícitos nunca se utilizan.
- CVE-2019-1563 (gravedad: baja)
En situaciones en las que un atacante recibe una notificación automatizada del éxito o fracaso de un intento de descifrado, un atacante después de enviar un gran número de mensajes a descifrar puede recuperar una clave de cifrado transportado CMS/PKCS7 o descifrar cualquier mensaje cifrado de RSA. Que se cifró con la clave RSA pública mediante un ataque de Bleichenbacher relleno Oracle. Las aplicaciones no se ven afectadas, si utilizan un certificado, junto con la clave RSA privada a las funciones CMS_decrypt o PKCS7_decrypt para seleccione la información de destinatario correcta que se debe descifrar.
Investigación y conclusiones
El equipo de ingeniería de ePO ha revisado estas vulnerabilidades de OpenSSL y ha determinado que no afecta a ePO.
- CVE-2019-1552: ePO no utiliza la ubicación de OPENSSLDIR predeterminada de OpenSSL ( usr/local/ssl ) para su configuración y, por lo tanto, no se ve afectada.
- CVE-2019-1547: hemos analizado este CVE con más detalle y basado en el uso de OpenSSL de ePO no afectado. ePO no utiliza ECDSA y, en su lugar, utiliza el algoritmo RSA para las operaciones de firma.
- CVE-2019-1563: ePO no proporciona servicios de descifrado generales. En cualquier caso, obstruya los códigos devueltos relacionados con la seguridad en resultados HTTP genéricos que podrían impedir estos problemas y, por lo tanto, no afectados.