McAfee dichiarazione di sostegno SSC2103041
Data: 4 marzo 2021
Il presente documento descrive McAfee posizione di supporto relativamente all'assistenza di un'applicazione a marchio McAfee.
McAfee risposta alla vulnerabilità di Tomcat CVE-2021-24122.
Panoramica
Questo documento riguarda le preoccupazioni relative a ePolicy Orchestrator (ePO) e alla vulnerabilità Tomcat documentata in CVE-2020-24122. Si fa riferimento a questa vulnerabilità nell'Advisory per la sicurezza Tomcat pubblicato
https://Tomcat.Apache.org/Security-7.html#Fixed_in_Apache_Tomcat_7.0.107.
Descrizione/Controlli
CVE-2021-24122 (divulgazione delle informazioni):
Quando si servono risorse da un percorso di rete utilizzando il file system NTFS, è stato possibile aggirare i vincoli di sicurezza o visualizzare il codice sorgente di JSP in alcune configurazioni. La causa principale era il comportamento imprevisto dell'API
File.getCanonicalPath() JRE, che a sua volta era causata dal comportamento incoerente dell'api Windows (
FindFirstFileW ) in alcune circostanze.
Ricerca e conclusioni
Il team di Engineering di ePO ha esaminato questo CVE e ha determinato che ePO non è influenzato per impostazione predefinita. ePO non serve alcun file da un percorso di rete che utilizza il file system NTFS in particolare i file JSP. La nostra installazione predefinita è quella di installare tutto in locale e di servire tutto il contenuto, comprese le jsp compilate dinamicamente dal file system locale. Potrebbero essere presenti alcune estensioni del prodotto ePO che potrebbero estrarre i dati da un server back-end diverso, per fornire il contenuto all'utente ePO. Ma il caso dell'utente è leggermente diverso e non equivale a servire i file da una condivisione di rete utilizzando NTFS. Pertanto, questo CVE non è applicabile a ePO.
Dichiarazione di non responsabilità Le informazioni incluse nel presente bollettino di sicurezza sono fornite così come sono, senza garanzie di alcun tipo. McAfee esclude qualsiasi garanzia, espressa o implicita, comprese le garanzie di commerciabilità e idoneità per usi specifici. In nessun caso McAfee o i suoi fornitori saranno ritenuti responsabili per eventuali danni, compresi quelli diretti, indiretti, incidentali, consequenziali, perdite di profitti aziendali o danni speciali. Anche se McAfee o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni Stati non consentono l'esclusione o la limitazione di responsabilità per danni consequenziali o incidentali, pertanto la suddetta limitazione potrebbe non applicarsi.
Qualsiasi data di rilascio futura del prodotto menzionata nel presente Bollettino ha lo scopo di delineare la nostra direzione generale del prodotto e non deve essere invocata per prendere una decisione di acquisto. Le date di versione prodotto sono solo a scopo informativo e potrebbero non essere integrate in alcun contratto. Le date di rilascio dei prodotti non sono un impegno, una promessa o un obbligo legale di rilascio di materiali, codici o funzionalità. Lo sviluppo, il rilascio e la tempistica di qualsiasi funzionalità o funzionalità descritta per i nostri prodotti restano a nostra esclusiva discrezione. Possono essere modificati o annullati in qualsiasi momento