Este documento aborda preocupações com o ePO e a vulnerabilidade do OpenSSL documentada no
CVE-2021-3712 e
CVE-2021-23840.
As vulnerabilidades do OpenSSL são citadas no
comunicado de segurança do OpenSSL emitido em
24 de agosto de 2021.
NOTAS:
- O comunicado de segurança do OpenSSL faz referência ao CVE-2021-3711, além do CVE-2021-3712.
- CVE-2021-3711 Não se aplica à OpenSSL versão 1.0.2.
- Como a versão 1.0.2 é a única versão do OpenSSL usada pelas versões atualmente compatíveis do ePO, o CVE-2021-3711 não se aplica ao ePO.
Para
CVE-2021-3712 e
CVE-2021-23840, nossa investigação está completa e agora está documentada no
Boletim SB10366-Security-o ePolicy atualização Orchestrator trata de duas vulnerabilidades de produto (CVE-2021-31834 e CVE-2021-31835) e atualizações Java, OpenSSL e Tomcat.