Este documento descreve a posição de suporte de manter a engenharia em relação a um aplicativa McAfee.

McAfee resposta a cabeçalhos de segurança HTTP ausentes e CWE-693:


Dos
Este documento trata de preocupações com os cabeçalhos de segurança HTTP ausentes relatados por mecanismos de varredura de vulnerabilidade no ePO. Revise as informações adicionais no foco de segurança:


Descrição
Alguns mecanismos de varredura de vulnerabilidades podem marcar a porta HTTP 8443 e a porta 8444 com a seguinte vulnerabilidade:

Os cabeçalhos a seguir fazem parte desta vulnerabilidade:

• X-Frame-Options
• X-XSS-Protection
• X-Content-Type-Options
• Content-Security-Policy
• Strict-Transport-Security

Pesquisa e conclusões
O Engineering researchou essa descoberta e concluiu o ePO é válida fica.

• X-Frame-Options: o ePO adiciona X-Frame-Options uses SAMEORIGIN em todas as páginas da Web que são servidas, e o ePO está protegido contra clickjacking ameaças.
• X-XSS-Protection: A injeção e a renderização de XSS são atenuadas em várias camadas no ePO. Os dados não confiáveis ou fornecidos pelo usuário são corretamente armazenados (se necessário) e de escape (codificados) durante a renderização para evitar o XSS. o ePO cuida do impedimento de XSS sem o uso do X-XSS-Protection verga.
• X-Content-Type-Options: A maior parte do conteúdo do ePO tem um tipo de conteúdo preciso. Qualquer conteúdo que não tenha tipo de conteúdo é de conteúdo estático, gerenciado pelo ePO/MFS. O conteúdo do usuário transferido tem o tipo de conteúdo apropriado para evitar o MIMIE. Além disso, Chrome e Internet Explorer foram propensos a detecção de MIME, mas com a versão mais recente do Chrome e do Internet Explorer, a detecção de MIME não é possível.
• Content-Security-Policy: o ePO não atende a nenhum arquivo HTML que use scripts carregados de origens externas, portanto, a falta desse cabeçalho não tem nenhum efeito no conteúdo que está sendo servido.
• Strict-Transport-Security: O console do ePO é servido em HTTPS e não há nenhum túnel para HTTP ou HTTPS. Portanto, a falta desse cabeçalho não tem efeito no conteúdo que está sendo servido.

Isenção
Qualquer data de lançamento futura do produto mencionada nesta declaração tem como objetivo descrever a nossa direção geral de produto. Eles não devem ser confiados na tomada de uma decisão de compra:

• As datas de lançamento do produto são apenas para fins informativos e podem não estar incorporadas a nenhum contrato.
• As datas de lançamento do produto não são um compromisso, promessa ou obrigação legal para fornecer material, código ou funcionalidade.
• O desenvolvimento, a versão e a temporização de quaisquer recursos ou funcionalidades descritas para nossos produtos, permanecem em nossa única medida. Eles podem ser alterados ou cancelados a qualquer momento.