McAfee de l'
instruction de maintien SSC2103041
Date : 4 mars, 2021
Ce document décrit McAfee position du maintien par rapport à la prise en charge d’une application McAfee de marque.
McAfee réponse à la vulnérabilité Tomcat CVE-2021-24122.
Présentation
Ce document traite des préoccupations relatives à ePolicy Orchestrator (ePO) et à la vulnérabilité Tomcat décrite dans CVE-2020-24122. Cette vulnérabilité est référencée dans l’avis de sécurité de Tomcat publié
https://Tomcat.Apache.org/Security-7.html#Fixed_in_Apache_Tomcat_7.0.107.
Description
CVE-2021-24122 (divulgation d’informations) :
Lorsque vous servez des ressources à partir d’un emplacement réseau à l’aide du système de fichiers NTFS, il était possible de contourner les contraintes de sécurité ou d’afficher le code source de JSPs dans certaines configurations. La cause première était le comportement inattendu de l’API
File.getCanonicalPath() JRE, qui était à son tour provoqué par le comportement incohérent de l’api Windows (
FindFirstFileW ) dans certaines circonstances.
Recherches et conclusions
L’équipe d’ingénierie ePO a examiné cette CVE et déterminé qu’ePO n’est pas concerné par défaut. ePO ne sert aucun fichier à partir d’un emplacement réseau à l’aide du système de fichiers NTFS, en particulier des fichiers JSP. Notre installation par défaut consiste à installer tout le contenu en local et à servir tout le contenu, y compris les JSPs compilés dynamiquement à partir du système de fichiers local. Certaines extensions de produit ePO peuvent extraire des données d’un autre serveur principal, afin de servir le contenu à l’utilisateur ePO. Toutefois, ce cas utilisateur est légèrement différent et n’est pas identique au service de fichiers d’un partage réseau à l’aide de NTFS. Par conséquent, cette CVE ne s’applique pas à ePO.
Clause d'exclusion de responsabilité Les informations contenues dans ce bulletin de sécurité sont fournies en l'état, sans aucune garantie. McAfee décline toute responsabilité vis-à-vis de garanties ou de représentations, implicites ou explicites, concernant la qualité marchande ou l'adéquation du produit à un usage particulier. En aucun cas n’est McAfee ou ses fournisseurs ne sont tenus responsables de quelque dommage que ce soit, y compris les dommages directs, indirects, accessoires, indirects, pertes de bénéfices ou dommages spéciaux. De même si McAfee ou ses fournisseurs ont été avertis de la possibilité de tels dommages. Certains États n’autorisent pas la exclusion ou la limitation de responsabilité en cas de dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas s’appliquer.
Toutes les futures dates de publication du produit mentionnées dans ce bulletin sont destinées à présenter notre orientation générale du produit et ne doivent pas être utilisées pour prendre une décision d’achat. Les dates de publication du produit sont fournies à titre indicatif uniquement et ne peuvent pas être incorporées dans un contrat. Les dates de sortie des produits ne constituent pas un engagement, une promesse ni une obligation légale de fournir un quelconque produit, code ou fonctionnalité. Le développement, la libération et la planification de toutes les fonctionnalités ou fonctionnalités décrites pour nos produits restent à notre entière discrétion. Ils peuvent être modifiés ou annulés à tout moment.