本文档介绍了与 McAfee 品牌应用程序支持相关的 McAfee 维持位置。
McAfee 对 OpenSSL 漏洞 CVE-2019-1552、CVE-2019-1547 和 CVE-2019-1563 的响应。
概述
本文档解决了对 ePolicy Orchestrator (ePO) 和 OpenSSL 漏洞的关注。 此处发布的 OpenSSL 安全顾问中引用了这些漏洞 -
描述
- CVE-2019-1552(严重性: 低)
OpenSSL 对目录树具有内部默认值,可以在该树中查找配置文件和证书,以在 TLS 中进行验证。 此目录最常称为 OPENSSLDIR,可配置有--prefix / --openssldir 配置选项。
对于 OpenSSL 版本1.1.0和1.1.1,mingw 配置目标假设生成的程序和库安装在类似Unix环境中。 程序安装以及 OPENSSLDIR 的默认前缀必须为 "/usr/local'. 但mingw 程序是Windows程序,因此,查找查找的子目录'C:/usr/local',这可能需要重写,使不受信任的用户可以修改 OpenSSL 的默认配置、插入 CA 证书、修改(甚至替换)现有引擎模块。 对于 OpenSSL1.0.2, '/usr/local/ssl' 会用作所有端点和端点上 OPENSSLDIR 的默认Unix Windows,包括 Visual C 内部版本。 但是,针对以下不同目标Windows一些内部版本说明:1.0.2鼓励他们指定您自己的--prefix.
OpenSSL 版本1.1.1,1.1.0和1.0.2受影响。 由于受影响的部署范围有限,报告的漏洞已评估为严重性为低。
- CVE-2019-1547(严重性: 低)
通常,在 OpenSSL EC 组中,始终存在共同因素,用于旁路通道编码路径。 但是,有时可能使用明确参数(而非使用命名的曲线)构建组。 在这种情况下,则有可能是此类组没有 co而存在。 即使所有参数与已知的命名曲线均匹配,也会出现该问题。 如果使用此类曲线,则 OpenSSL 会回滚到非侧通道编码路径,这可在 ECDSA 签名操作期间导致完全密钥恢复。 攻击者需要具备创建大量特征码的时间,从而容易遭受攻击。 其中没有共同因素的显式参数正由使用 libcrypto 的应用程序使用。为规避规避规定,libssl 不易受攻击,因为从不使用明确参数。
- CVE-2019-1563(严重性: 低)
在攻击者收到有关解密尝试成功或失败的自动通知的情况下,攻击者在发送大量邮件后,可恢复传输的 CMS/PKCS7 加密密钥 或解密任何 RSA 加密消息。 它使用公共 RSA 密钥加密,使用Bleichenbacher 填充Oracle攻击。 如果应用程序使用证书以及用于 CMS_decrypt 或 PKCS7_decrypt 的专用 RSA 密钥,则没有影响,因为会选择正确的收件人信息进行解密。
研究和结论
ePO 工程团队已查看这些 OpenSSL 漏洞,确定其不会影响 ePO。
- CVE-2019-1552: ePO 未使用 OpenSSL 默认 OPENSSLDIR 位置(usr/local/ssl),因而不受影响。
- CVE-2019-1547: 我们进一步详细介绍了此 CVE,并且根据我们对于 OpenSSL 的 ePO 使用,我们未受影响。 ePO 不使用 ECDSA,而是使用 RSA 算法执行签名操作。
- CVE-2019-1563: ePO 不提供常规解密服务。 无论如何,都请混淆我们的安全相关的返回HTTP一般规则结果,以避免此类问题,从而不受影响。