Ce document décrit la position de support technique de l’ingénierie de secours par rapport à une application McAfee.
Introduction
Ce document traite des préoccupations concernant le serveur ePO, le gestionnaire d'agents et la prise en charge de la McAfee Agent
Transport Layer Security TLS 1.2.
Description
Versions de TLS 1.0 (
RFC 2246) et 1.1 (
RFC 4346) incluent des suites de chiffrement basées sur les algorithmes DES (Data Encryption Standard) et IDEA (International Data Encryption Algorithm). Les et l’idée ne sont plus recommandées pour une utilisation générale dans TLS et ont été supprimées de TLS 1.2.
Veuillez Les éléments ci-dessus s’appliquent également aux éléments répertoriés ci-dessous :
- Qualys QID-38628: SSL/TLS Server supports TLSv1.0.
- Nessus PluginID 104743: TLS Version 1.0 Protocol Detection
Recherches et conclusions
Communication entre le gestionnaire d'agents et McAfee Agent 4.8 utilise TLS 1.0et désactivation de TLS 1.0 rompt la McAfee Agent 4.8 possibilité de communiquer avec le serveur ePO/gestionnaires de l'agent.
FAUT McAfee Agent 4.8 est en fin de vie (à l’exception des HP-UX, AIX et Solaris). MA 4.8 peut utiliser uniquement TLS 1.0. Il n’est pas possible de le configurer pour qu’il communique à l’aide de TLS 1.2 avec le gestionnaire du serveur/Agent ePO avec l’implémentation actuelle. Mise à niveau vers la McAfee Agent plus récente 5.x qui prend en charge TLS 1.2.
Par défaut, McAfee Agent 5.x communique à l’aide de TLS 1.2. C’est le cas aussi longtemps que le serveur ePO et le gestionnaire d'agents prend en charge TLS. 1.2. Lorsque le serveur ne existant prendre en charge TLS 1.2, MA bascule vers TLS 1.1, puis sur TLS 1.0.
La solution temporaire suivante force McAfee Agent 5.x agents de communiquer à l’aide de TLS uniquement 1.2 avec les gestionnaires de l'agent (locaux et distants).
Gestionnaire de l'agent local :
- Connectez-vous au serveur ePO.
- Accédez au dossier suivant :
32-bit : "C:\Program Files\McAfee\ePolicy Orchestrator\Apache2\conf\"
64-bit : "C:\Program Files (x86)\McAfee\ePolicy Orchestrator\Apache2\conf\"
- Modifier le fichier ssl.conf et modifiez la ligne suivante :
De: SSLProtocol all -SSLv3 -SSLv2
- Redémarrez le gestionnaire d'agents (Apache service).
Gestionnaire de l'agent à distance :
- Connectez-vous au gestionnaire d'agents à distance.
- Accédez au dossier du gestionnaire d'agents suivant :
32-bit : "C:\Program Files\McAfee\Agent Handler\Apache2\conf\"
64-bit : "C:\Program Files (x86)\McAfee\Agent Handler\Apache2\conf\"
- Modifier le fichier ssl.conf et modifiez la ligne suivante :
De: SSLProtocol all -SSLv3 -SSLv2
- Redémarrez le gestionnaire d'agents (Apache service).
Désactivation de TLS 1.0 et 1.1 pour Tomcat
Vous pouvez également désactiver TLS 1.0 ou TLS 1.1 pour le service serveur d’applications ePO (Tomcat), qui écoute par défaut le port 8443 ou 8444, en suivant les instructions ci-dessous :
AVERTISSEMENT: En suivant ces instructions, il se peut que vous ne puissiez pas accéder à la console ePO pour les versions antérieures du navigateur, car elles ne sont peut-être pas compatibles avec le protocole TLS. 1.2.
- Accédez à : \Server\conf
- Créer une sauvegarde du fichier server.xml.
- Modifier le fichier server.xml et mettre à jour le sslProtocol et sslEnabledProtocols attributs pour l’attribut spécifié Connecteur contenus
- Ouvrir le fichier server.xml.
- Dans chaque Connecteur élément, modifiez la sslProtocol et sslEnabledProtocols attributs comme indiqué dans l’exemple suivant. Effectuez cette étape pour les ports d’écoute de Tomcat 8443 et 8444.
ePO 5.3 Comment
clientAuth="want" disableUploadTimeout="true"
enableLookups="false" id="orion.server.https"
keystoreFile="keystore/server.keystore"
keystorePass="snowcap" maxHttpHeaderSize="8192"
maxThreads="250" minSpareThreads="25" port="8443"
scheme="https" secure="true" server="Undefined"
sessionCacheSize="400" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2"
NOTES:
- Pour désactiver uniquement TLS 1.0 et conserver TLS 1.1 activé, le sslEnabledProtocols l’entrée se présenterait comme suit : sslEnabledProtocols="TLSv1.1,TLSv1.2"
- Si le sslEnabledProtocols l’attribut n’existe pas, ajoutez-le immédiatement après la sslProtocol attribut.
- Redémarrez l' McAfee ePolicy Orchestrator 5.x Serveur d’applications Imprimeur.
Renonciation
Toutes les futures dates de publication du produit mentionnées dans cette déclaration sont destinées à présenter notre orientation générale du produit. Il n’est pas possible de faire confiance à la décision d’achat :
- Les dates de publication du produit sont fournies à titre indicatif uniquement et ne peuvent pas être incorporées dans un contrat.
- Les dates de publication des produits ne sont pas un engagement, une promesse ou une obligation légale de fournir des éléments, du code ou des fonctionnalités.
- Le développement, la libération et la planification de toutes les fonctionnalités ou fonctionnalités décrites pour nos produits restent à notre entière discrétion. Ils peuvent être modifiés ou annulés à tout moment.
Mot clé associé : CVE-2009-3555