CH azonosító
CH-12308Angol cím
McAfee ePolicy Orchestrator 4.6.9 Software updateFelfedezés dátuma
2015.06.04.Súlyosság
KözepesÉrintett rendszerek
McAfeeePolicy Orchestrator
Érintett verziók
McAfee ePolicy Orchestrator 4.x
McAfee ePolicy Orchestrator 5.x
Összefoglaló
A McAfee ePolicy Orchestrator egy olyan frissítést kapott, amelynek köszönhetően egy SSL/TLS kezelési rendellenesség szüntethető meg. A hiba elsősorban közbeékelődéses támadásokat segíthet elő, és adatmanipulációkra, adatlopásra adhat módot.
Leírás
A sérülékenységet alapvetően az okozza, hogy az alkalmazás esetenként nem ellenőrzi megfelelően az SSL/TLS tanúsítványok érvényességét. Az ellenőrzési hiányosság elsősorban a CA (certificate authority), a CN (common name), illetve a DN (domain name) bejegyzésekre terjed ki.
Megoldás
A 4.6.9-es vagy az 5.1.2-es verziókra történő frissítés.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Manipulation of data
man in the middle
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: kc.mcafee.com
Egyéb referencia: isbk.hu
CVE-2015-2859 - NVD CVE-2015-2859