En este documento se describe la posición de soporte de la ingeniería de mantenimiento relativa a una aplicación McAfee.

McAfee Response a los encabezados de seguridad HTTP que faltan y CWE-693:


Al
Este documento aborda los problemas relacionados con los encabezados de seguridad HTTP que notifican los analizadores de vulnerabilidades en ePO. Revise la información adicional en el centro de seguridad:


Descripción
Algunos analizadores de vulnerabilidades podrían etiquetar el puerto HTTP 8443 y el puerto 8444 con la siguiente vulnerabilidad:

Los siguientes encabezados forman parte de esta vulnerabilidad:

• X-Frame-Options
• X-XSS-Protection
• X-Content-Type-Options
• Content-Security-Policy
• Strict-Transport-Security

Investigación y conclusiones
Ingeniería en investigación sobre esta búsqueda y conclusi?n ePO es no vulnerable.

• X-Frame-Options: ePO agrega X-Frame-Options uses SAMEORIGIN en todas las páginas web que se atienden y que ePO está protegido frente a clickjacking aprovecha.
• X-XSS-Protection: La inserción y la representación de XSS se mitigan en varias capas en ePO. Los datos no de confianza o los proporcionados por el usuario se almacenan adecuadamente (si es necesario) y se cifran y se escapan durante el procesamiento para evitar XSS. ePO se encarga de evitar el XSS sin usar X-XSS-Protection encabezados.
• X-Content-Type-Options: La mayoría del contenido de ePO tiene un tipo de contenido preciso. Cualquier contenido que no tenga contenido-tipo es estático, administrado por ePO/MFS. El contenido cargado por el usuario tiene el tipo de contenido adecuado para evitar el rastreo MIMIo. Además, Chrome y Internet Explorer eran propensos al examen de MIME, pero con la última versión de Chrome y Internet Explorer, el examen de MIME no es posible.
• Content-Security-Policy: ePO no ofrece ningún archivo HTML que utilice secuencias de comandos cargadas de orígenes externos, por lo que la ausencia de este encabezado no afecta al contenido que se atiende.
• Strict-Transport-Security: La consola de ePO se sirve en HTTPS y no hay ningún túnel para HTTP o HTTPS. Por tanto, la ausencia de este encabezado no afecta al contenido que se atiende.

Claim
Las fechas de publicación de productos futuras que se mencionan en esta declaración tienen como objetivo describir nuestra dirección general del producto. No se debe confiar en que tomar una decisión de compra:

• Las fechas de publicación del producto solo son para fines informativos y es posible que no se incorporen a ningún contrato.
• Las fechas de publicación del producto no son una obligación de compromiso, promesa o legal de entregar material, código o funcionalidad.
• El desarrollo, la publicación y la temporización de cualquier función o funcionalidad descrita para nuestros productos se conserva a nuestra entera discreción. Es posible que se cambien o se cancelen en cualquier momento.