McAfee 持续声明 SSC2103041
日期： 2021 年 3 月 4 日
本文档介绍了与 McAfee 品牌应用程序支持相关的 McAfee 维持位置。

McAfee 对 Tomcat 漏洞 CVE-2021-24122 的响应。

概述
本文档解决了对 ePolicy Orchestrator （ePO） 和 CVE-2020-24122 中记录 Tomcat 漏洞的关注。 该漏洞在已发布的 Tomcat 安全顾问中引用https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.107.

描述
CVE-2021-24122（信息标题器）：

使用 NTFS 文件系统网络位置来源时，可能会绕过安全限制，或在某些配置中查看 JSPs 的源代码。 根本原因是JRE API File.getCanonicalPath()的意外行为，这又是由Windows API（FindFirstFileW）在某些情况下的不一致行为引起的。

研究和结论
ePO 工程团队已查看此 CVE，确定 ePO 默认情况下不受影响。 ePO 不为使用 NTFS 网络位置 JSP 文件的任何文件提供服务。 我们的默认安装是在本地安装一切内容并服务所有内容，包括从本地文件系统动态编译的 JS。 可能有些 ePO 产品扩展会从不同的后端服务器提取数据，以将内容提供给 ePO 用户。 但该用户案例略有不同，不同于使用 NTFS 从 网络共享提供文件的方式。 因此，此 CVE 不适用于 ePO 。

免责声明
本安全公告中的信息均是按原样提供的，不包含任何形式的担保。McAfee不提供任何明示或暗示的保证，包括适销性和针对特定目的的适用性的保证。 任何情况， McAfee 或其变更都概不负责，包括直接、间接、非直接、非后果、业务破坏或特殊损坏。 即使 McAfee 或其小供应商已告知其有关此类损坏的可能性。 由于部分州不允许排除或限制间接或附带损害责任，以上限制可能对您不适用。

本公告中提及的任何将来的产品发布日期均旨在概述我们的总体产品发展方向，在做出购买决定时不得以任何形式依赖。 产品发行日期仅供参考，不得纳入任何合同。 产品发行日期不对任何材料、代码或功能的交付作出承诺、保证或承担法律责任。对我们产品所描述的任何功能或功能的开发、发布和计时都是我们唯一的决定。 可以随时更改或取消