ePO に対して
Burp Suite を実行したところ、以下の問題が発生しました:
- キャッシュ可能な SSL ページが見つかりました
ほとんどの Web ブラウザーは、使用中のユーザーのページをキャッシュするようにデフォルトで設定されています。 このアクションを実行すると、SSL ページもキャッシュされます。 SSL 情報を保存するために Web ブラウザーを有効にすることはお勧めしません。 脆弱性があると、この情報が漏洩する可能性があります。
- 過剰に許可された CORS アクセスポリシー
CORS(Cross-Origin Resource Sharing)とは、Web サイトが外部のサイトからリソースを要求できるようにするための仕組みです。 このアクションを実行すると、項目を複製する必要がなくなります。 外部サイトへのアクセスを許可する場合、許可サイトに対してもいくつかのアクションを実行して、それらに対してスクリプトを実行することができます。 そのため、どんなサイトにもアクセスを許可せず、信頼できるサイトにのみアクセスを許可することが重要です。
- SHA-1 暗号スイートが検出された
サーバーは SHA-1 暗号スイートをサポートしています。 NIST は 2011 年に SHA-1 を公式に廃止しましたが、多くのアプリケーションが SHA-1 に依存しています。
- 安全でない第三者のリンク (target="_blank")
link 要素に target="_blank" 属性を追加することで、新しいウィンドウで開くようになります。 この種のリンクタグ(target="_blank" 属性など)は、window.opener オブジェクトを介して、元のページの window オブジェクトの一部をリンク先のページに公開します。 この情報は、リンク先のページが悪意のあるものであれば、フィッシング攻撃に悪用される可能性があります。
- データベース接続文字列の漏えい:
データベース接続文字列は、データソースに関する情報と、データソースへの接続手段を指定します。 Web アプリケーションでは、アプリケーションデータを格納するバックデータベースに接続するために、アプリケーション層が接続文字列を使用します。 これらは、サーバー側の設定ファイルから読み込まれるか、アプリケーションのソースコードにハードコードされています。
調査と結論
ePO エンジニアリングチームは、これらの調査結果を検討し、以下のように判断しました。
- キャッシュ可能な SSL ページが見つかりました
このレポートは誤検知です。 ePO では、今日、以下のヘッダーを設定して、ほとんどすべての ePO ページのキャッシュを無効にしています。 機密データを含まない静的な JS ファイルには、パフォーマンスを向上させるために、これらのヘッダーは設定されません。
- 過剰に許可された CORS アクセスポリシー
このレポートは誤検知です。 ePO は今日、他のドメインからのアクセスを許可する CORS ヘッダーを設定していません。 ヘッダーが設定されていない場合は、デフォルトで安全です。 例えば、ブラウザは他のドメインのウェブサイトが ePO からリソースにアクセスすることを許可しない。
- SHA-1 暗号スイートが検出された
ePO が一部の SHA-1 暗号スイートを有効にしていることを確認します。 この動作は、ePO 証明書で使用される署名アルゴリズムとは異なります。 ePO 証明書では、SHA-1 をサポートしていません。 ePO は、TLS 接続の際に、より強力な暗号スイートを選択するために、基盤となる FIPS 認定の暗号プロバイダに依存しています。 お客様の ePO のアップグレードに対応するためには、FIPS モードで許可されている古い、しかしまだ安全な暗号の一部を保持する必要がありました。 当社では、ePO の新規リリースごとに暗号スイートリストを評価し、既存のお客様に迷惑をかけないように適宜強化しています。 SHA-1 暗号スイートは、今後の ePO リリースでは無効になります。
- 安全でない第三者のリンク (target="_blank")
ePO では、ユーザーが提供したターゲットや信頼できないターゲットをこのようにリンクしていないため、このレポートを問題視していません。 ePO が追加する外部リンクは、デフォルトではすべて信頼できるドメイン(例:*.mcafee.com)になっています。
- データベース接続文字列が漏えいしています
我々はこの検出を確認しました。データベースに関する情報が漏えいすることはありません。 コンソール上で認証された ePO ユーザーは、対応する ePO 機能の適切な権限を持っていれば、ユーザー名などの情報を見ることができます。