本文档介绍了与 McAfee 应用程序保持工程相关的支持位置。
某些客户已报告 Nessus 和 Qualys 扫描针对其环境中 ePO 系统生成的警告。 工程分析表明,尽管这些工具准确标记了证书参数,但 ePO 实施符合这些警告中说明的例外。
描述
本文档所介绍扫描警告的详细信息如下所述。
| Nessus 扫描 |
| 插件 ID |
简介 |
描述 |
| 51192 |
此服务的 SSL 证书使用未知证书证书颁发机构。 |
远程主机的 X.509 证书未使用已知的公共设备证书颁发机构。 如果远程主机是生产中的公共主机,则 SSL 的使用将无效,因为任何用户都可能是对远程主机发起中间人攻击。 |
| 57582 |
此服务的 SSL 证书链会以无法识别自签证书。 |
此服务的 X.509 证书链未使用识别的证书证书颁发机构。 如果远程主机是生产中的公共主机,则 SSL 的使用将无效,因为任何用户都可能是对远程主机发起中间人攻击。 |
| 45411 |
此服务的 SSL 证书用于其他主机。 |
为此服务呈现的 SSL 证书的"commonName"(CN)属性用于其他系统。 |
这些扫描警报与以下内容有效相同。
| Qualys 扫描结果 |
| QID |
类别 |
细节 |
| 38173 |
常规远程服务 |
QID 38173 表示以下例外:
如果服务器仅与具有 服务器证书 或受信任 CA 证书 的受限客户端组通信,则服务器或 CA 证书 可能无法公开使用。 然后扫描无法验证特征码。 |
| 38170 |
常规远程服务 |
威胁: SSL 证书将实体(例如人员、组织或主机)与公钥关联。 在 SSL 连接中,客户端使用服务器的证书对远程服务器进行身份验证,并提取证书中的公钥,以建立安全连接。
主题 commonName 或 subjectAltName 与服务器 FQDN 不匹配的证书仅提供加密而不进行身份验证。 |
注意:某些扫描程序或扫描程序测试报告将此次查找分类为CWE-295: 证书验证不正确。
Research and Conclusions
ePO 工程团队已研究结果,并发现 ePO 不会易受报告结果的侵害。 研究发现,由于端口 8444 和 443 不可使用浏览器浏览。
它们从代理处理程序McAfee Agent 代理处理程序 或其他 ePO 内部服务访问。 证书信任在 OrionCA 上构建,该信任关系根据 ePO 安装生成。
关于所有警告,适用于 QID 38173 的例外:
代理ePO 服务器 代理处理程序 组件仅与具有受信任证书链的受限客户端集通信。 该CA 证书无法公开使用,且无法远程验证。
此外,为了防止 Qualys 客户未来担心的问题, McAfee 提交了一个增强功能请求,以解决 QID 38170。 请求是设置subjectAltName根据 QID 建议提供的值。
免责声明
本声明中提及的任何未来产品发布日期都旨在概述我们的一般产品方向。 在做出购买决定时,不能指望他们。 适用以下内容:
- 产品发布日期仅供参考,可能不会合并到任何合同中。
- 产品发行日期为不用于传送任何材料、代码或功能的解码器、计划程序或合法目录。
- 对我们产品所描述的任何功能或功能的开发、发布和计时都是我们唯一的决定。 其中任何一个可以随时更改或取消。
