Ce document décrit McAfee position du maintien par rapport à la prise en charge d’une application McAfee de marque.
McAfee réponse aux vulnérabilités OpenSSL CVE-2019-1552, CVE-2019-1547 et CVE-2019-1563.
Présentation
Ce document traite des préoccupations relatives à ePolicy Orchestrator (ePO) et aux vulnérabilités liées à OpenSSL. Ces vulnérabilités sont référencées dans l’avis de sécurité OpenSSL publié ici-
Décriv
- CVE-2019-1552 (gravité : faible)
OpenSSL comporte des valeurs par défaut internes pour une arborescence de répertoires où il peut trouver un fichier de configuration et des certificats utilisés pour la vérification dans TLS. Ce répertoire est le plus souvent appelé OPENSSLDIR et peut être configuré à l’aide des options de configuration--prefix / --openssldir .
Pour les versions 1.1.0 OpenSSL et 1.1.1 , les cibles de configuration supposent que les mingw programmes et les bibliothèques qui en résultent sont installés dans un environnement de type UNIX. Que le préfixe par défaut pour l’installation du programme ainsi que pour OPENSSLDIR doit être' /usr/local '. Toutefois, mingw les programmes sont Windows des programmes et, en tant que tels, ils recherchent eux-mêmes des sous-répertoires de 'C:/usr/local' , qui peuvent être accessibles en écriture mondiale, ce qui permet aux utilisateurs non approuvés de modifier la configuration par défaut d’OpenSSL, d’insérer des certificats d’autorité de certification, de modifier (voire de remplacer) des modules de moteur existants. Pour OpenSSL 1.0.2 , '/usr/local/SSL’est utilisé par défaut pour OPENSSLDIR sur toutes les cibles UNIX et Windows, y compris les builds Visual C. Toutefois, certaines instructions build pour les différents Windows cibles 1.0.2 vous encourageons à en définir les vôtres --prefix .
Les versions 1.1.11.1.0 d’OpenSSL et 1.0.2 sont concernées. En raison de la portée limitée des déploiements concernés, cette vulnérabilité signalée a été évaluée comme présentant un niveau de gravité faible.
- CVE-2019-1547 (gravité : faible)
Normalement, dans les groupes OpenSSL EC, il existe toujours un coefficient, qui est utilisé dans les chemins de code résistants aux canaux secondaires. Cependant, il est parfois possible de construire un groupe à l’aide de paramètres explicites (au lieu d’utiliser une courbe nommée). Dans ce cas, il est possible qu’un tel groupe ne consente pas le cofacteur. Ce problème peut se produire même lorsque tous les paramètres correspondent à une courbe nommée connue. Si une telle courbe est utilisée, OpenSSL revient à des chemins de code non-RESISTANTS aux canaux, ce qui peut entraîner une récupération complète de la clé lors d’une opération d’signature ECDSA. Pour être vulnérable, un attaquant doit pouvoir créer un grand nombre de signatures, afin d’être vulnérable. Lorsque les paramètres explicites sans coefficient de coefficient sont utilisés, sont utilisés par un application à l’aide de libénigmatiqueo. Pour éviter tout doute, n’est pas vulnérable, libssl car les paramètres explicites ne sont jamais utilisés.
- CVE-2019-1563 (gravité : faible)
Dans les cas où un attaquant reçoit des notification automatisées de la réussite ou de l’échec d’une tentative de déchiffrement, un attaquant, après avoir envoyé un grand nombre de messages à déchiffrer, peut récupérer une clé de chiffrement CMS/PKCS7 transportée ou déchiffrer un message RSA chiffré. Qui a été chiffré avec la clé publique RSA, à l’aide d’une attaque Oracle de Bleichenbacher remplissage. Les applications ne sont pas affectées si elles utilisent un certificat, ainsi que la clé RSA privée des fonctions CMS_decrypt ou PKCS7_decrypt pour sélectionner les informations de destinataires correctes à déchiffrer.
Recherches et conclusions
L’équipe d’ingénierie d’ePO a vérifié ces vulnérabilités OpenSSL et a déterminé qu’elle n’a pas d’incidence sur ePO.
- CVE-2019-1552: ePO n’utilise pas l’emplacement OPENSSLDIR OpenSSL par défaut ( usr/local/ssl ) pour sa configuration et n’est donc pas affecté.
- CVE-2019-1547: nous avons examiné cette CVE plus en détail et, en fonction de notre utilisation d’OpenSSL par EPO, nous ne sommes pas concernés. ePO n’utilise pas l’algorithme ECDSA et utilise à la place l’algorithme RSA pour les opérations signature.
- CVE-2019-1563: ePO ne fournit pas de services généraux de déchiffrement. Dans tous les cas, brouillez nos codes de retour liés à la sécurité dans les résultats HTTP génériques, ce qui empêchait de tels problèmes et n’était donc pas affecté.