Este documento descreve a declaração de engenharia sustentável em relação ao suporte de um aplicativo de McAfee.
Alguns clientes relataram avisos gerados pelas varreduras do Nessus e do Qualys em relação aos sistemas ePO em seu ambiente. A análise de engenharia dos problemas concluiu que, enquanto essas ferramentas de análise sinalizam parâmetros de certificado com precisão, a implementação do ePO se qualifica para exceções observadas nesses avisos.
Descritivo
Os detalhes dos avisos de varredura abordados por este documento estão resumidos abaixo.
| Varredura do Nessus |
| ID de plug-in |
Resumo |
Descrição |
| 51192 |
O certificado SSL para esse serviço é assinado por meio de uma autoridade de certificação desconhecida. |
O certificado X. 509 do host remoto não é assinado por meio de uma autoridade de certificação pública conhecida. Se o host remoto for um host público em produção, o uso do SSL será nullified, uma vez que qualquer pessoa poderá estabelecer um ataque man-in-the-Middle contra o host remoto. |
| 57582 |
A cadeia de certificados SSL para esse serviço é encerrada em um certificado autoassinado não reconhecido. |
A cadeia de certificados X. 509 para este serviço não foi assinada usando uma autoridade de certificação reconhecida. Se o host remoto for um host público em produção, o uso do SSL será nullified, uma vez que qualquer pessoa poderá estabelecer um ataque man-in-the-Middle contra o host remoto. |
| 45411 |
O certificado SSL para esse serviço refere-se a um host diferente. |
O atributo ' CommonName ' (CN) do certificado SSL apresentado para este serviço é para um sistema diferente. |
Esses alertas de varredura são efetivamente idênticos aos seguintes.
| Resultados da varredura do Qualys |
| QID |
Categoria |
Detalhado |
| 38173 |
Serviços remotos gerais |
QID 38173 observações sobre o seguinte exceção:
Se o servidor se comunicar somente com um conjunto restrito de clientes que tenham o certificado de servidor ou o certificado de autoridade de certificação confiável, o servidor ou o certificado de autoridade de certificação talvez não estejam disponíveis publicamente. A varredura, em seguida, não pode verificar a assinatura. |
| 38170 |
Serviços remotos gerais |
AMEAÇA: um certificado SSL associa uma entidade (como uma pessoa, organização ou host) a uma chave pública. Em uma conexão SSL, o cliente autentica o servidor remoto usando o certificado do servidor e extrai a chave pública no certificado para estabelecer a conexão segura.
Um certificado cujo assunto CommonName ou subjectAltName não corresponde ao FQDN do servidor oferece apenas criptografia sem autenticação. |
INDICADO Alguns mecanismos de varredura ou relatórios de teste de penetração categorizam esta descoberta como CWE-295: validação de certificado inadequada.
Pesquisa e conclusões
A equipe de engenharia do ePO pesquisava as descobertas e concluiu que o ePO não está vulnerável às descobertas reportadas. A pesquisa descobriu que, como as portas 8444 e 443 não são destinadas à navegação por meio de um navegador.
Eles são acessados a partir do McAfee Agent, Manipulador de agentes ou outro serviço interno do ePO. A relação de confiança de certificado é criada em OrionCA, que é gerado por instalação do ePO.
Em relação a todos os avisos, o exceção observado para o QID 38173 se aplica:
O servidor ePO e os componentes Manipulador de agentes se comunicam somente com um conjunto restrito de clientes que possuem a cadeia de certificados confiáveis. O certificado de autoridade de certificação não está disponível publicamente e não pode ser verificado remotamente.
Além disso, para evitar uma preocupação futura sobre a parte dos clientes do Qualys, McAfee tem arquivado uma solicitação de aprimoramento para lidar com o QID 38170. A solicitação é definir o subjectAltName valor como aconselhado pelo QID.
Isenção
Qualquer data de lançamento futura do produto mencionada nesta declaração tem como objetivo descrever a nossa direção geral de produto. Eles não podem ser confiados na tomada de uma decisão de compra. O seguinte se aplica:
- As datas de lançamento do produto são apenas para fins informativos e podem não estar incorporadas a nenhum contrato.
- As datas de lançamento do produto são válida um compromisso, uma promessa ou uma obrigação jurídica de fornecer qualquer material, código ou funcionalidade.
- O desenvolvimento, a versão e a temporização de quaisquer recursos ou funcionalidades descritas para nossos produtos permanecem a nosso critério exclusivo. Qualquer um deles pode ser alterado ou cancelado a qualquer momento.
