Declaração de sustentação do ePolicy Orchestrator (SSC1910101)-vulnerabilidades do OpenSSL CVE-2019-1552, CVE-2019-1547 e CVE-2019-1563.
Artigos técnicos ID:
KB92168
Última modificação: 2022-07-18 16:49:14 Etc/GMT
Ambiente
McAfee ePolicy Orchestrator (ePO) 5.10.x , 5.9.x
Resumo
Este documento descreve McAfee a posição de sustentação em relação ao suporte de um aplicativo com marca de McAfee.
McAfee resposta a vulnerabilidades do OpenSSL CVE-2019-1552, CVE-2019-1547 e CVE-2019-1563.
Visão geral
Este documento aborda as preocupações com o ePolicy Orchestrator (ePO) e as vulnerabilidades do OpenSSL. Essas vulnerabilidades são citadas no comunicado de segurança do OpenSSL publicado aqui-
Limites
- CVE-2019-1552 (gravidade: baixa)
O OpenSSL tem padrões internos para uma árvore de diretórios onde é possível encontrar um arquivo de configuração e certificados usados para verificação no TLS. Esse diretório é geralmente referido como OPENSSLDIR, e é configurável com as opções --prefix / --openssldir configuração. Para versões 1.1.0 do OpenSSL e 1.1.1 , os destinos de configuração assumem que os programas e as mingw bibliotecas resultantes são instalados em um ambiente semelhante a UNIX. Se o prefixo padrão para instalação de programa, bem como para OPENSSLDIR, deve ser ' /usr/local '. No entanto, mingw os programas são Windows programas e, dessa forma, eles buscam subdiretórios do 'C:/usr/local' , que podem ser graváveis mundiais, o que permite que usuários não confiáveis modifiquem a configuração padrão do OpenSSL, insiram certificados de CA, modifiquem (ou até substituam) módulos de mecanismos existentes. Para o OpenSSL 1.0.2 , '/usr/local/SSL ' é usado como padrão para o OPENSSLDIR em todos os destinos de UNIX e Windows, incluindo as compilações do Visual C. No 1.0.2 entanto, algumas instruções de compilação para os diversos destinos de Windows para encorajar você a especificar o seu --prefix . Versões 1.1.11.1.0 do OpenSSL e 1.0.2 são afetadas. Devido ao escopo limitado de distribuições afetadas, essa vulnerabilidade relatada foi avaliada como baixa gravidade.
- CVE-2019-1547 (gravidade: baixa)
Normalmente, em grupos de EC do OpenSSL, sempre há um co-fator presente, que é usado em caminhos de código resistentes a canais laterais. No entanto, às vezes, é possível construir um grupo usando parâmetros explícitos (em vez de usar uma curva nomeada). Nesses casos, é possível que tal grupo não tenha o cofator presente. Esse problema pode ocorrer mesmo que todos os parâmetros correspondam a uma curva nomeada conhecida. Se tal curva for usada, o OpenSSL voltará aos caminhos de código resistentes a canal não-lado, o que pode resultar em uma recuperação de chave completa durante uma operação de assinatura ECDSA. Para estar vulnerável, um invasor precisaria ter a capacidade de criar um grande número de assinaturas. Onde os parâmetros explícitos sem o cofator presente, estão sendo usados por um aplicativo usando o libcrypto. Para evitar dúvidas, o não é vulnerável, libssl pois os parâmetros explícitos nunca são usados.
- CVE-2019-1563 (gravidade: baixa)
Nas situações em que um atacante recebe uma notificação automática do êxito ou falha de uma tentativa de descriptografia, um invasor após enviar um grande número de mensagens a ser descriptografado pode recuperar uma chave de criptografia CMS/PKCS7 Transportable ou descriptografar qualquer mensagem criptografada da RSA. Que foi criptografado com a chave RSA pública, usando um Bleichenbacher preenchimento Oracle ataque. Os aplicativos não serão afetados se usarem um certificado, juntamente com a chave RSA privada para as funções CMS_decrypt ou PKCS7_decrypt para selecionar as informações corretas do destinatário a serem descriptografadas.
Pesquisa e conclusões
A equipe de engenharia do ePO analisou essas vulnerabilidades do OpenSSL e determinou que ela não afeta o ePO.
- CVE-2019-1552: o ePO não está usando o local padrão de OPENSSLDIR do OpenSSL ( usr/local/ssl ) para sua configuração e, portanto, não foi afetado.
- CVE-2019-1547: Analisamos mais detalhadamente este CVE em detalhes e com base em nosso uso do ePO do OpenSSL que não somos afetados. o ePO não usa ECDSA e, em vez disso, usa algoritmo RSA para operações de assinatura.
- CVE-2019-1563: o ePO não fornece serviços de descriptografia gerais. Em qualquer caso, ofusca os nossos códigos de retorno relacionados à segurança em resultados HTTP genéricos, o que impediria tais problemas e, portanto, não afetou.
Aviso de isenção de responsabilidade
O conteúdo original deste artigo foi redigido em inglês. Se houver diferenças entre o conteúdo em inglês e sua tradução, o conteúdo em inglês será o mais exato. Parte deste conteúdo foi criado por meio de tradução automática da Microsoft.
|