miércoles, 24 de abril de 2013

Vulnerabilidades en McAfee ePolicy Orchestrator

McAfee ha publicado un boletín que soluciona varios problemas de seguridad en su producto ePolicy Orchestrator y que podrían comprometer la confidencialidad, integridad y disponibilidad del sistema afectado.

McAfee ePolicy Orchestrator, también conocido como McAfee ePo, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas.

Estos problemas de seguridad afectan a ePo 4.5.x y 4.6.x y se deben a versiones vulnerables de OpenSSL y Java incluidas en este software.

Las vulnerabilidades (algunas no ofrecen muchos detalles) son las siguientes:


  • CVE-2013-0169: un error en los protocolos TLS y DTLS al no considerar correctamente los posibles ataques de tiempo en la comprobación del MAC (Message authentication code) al procesar el relleno CBC mal formado. Esto podría permitir a un atacante remoto revelar información sensible a través del envío de paquetes especialmente manipulados y un análisis estadístico de tiempos. Este problema es común en la implementación de OpenSSL y muchos otros programas.
        
  • CVE-2013-1484: un error en el componente Libraries de Java JRE podría comprometer la confidencialidad, integridad y disponibilidad del sistema afectado de forma remota.
        
  • CVE-2013-1485: otro error en el componente Libraries podría afectar a la integridad del sistema.

Se encuentran disponibles las versiones de 4.6.6, y 5.0 que solventan las vulnerabilidades anteriores. McAfee ePolicy Orchestrator 4.5.7, que será lanzada a mediados de mayo, también solucionará estás vulnerabilidades.

Más información:

McAfee Security Bulletin SB10041 - ePO update fixes two vulnerabilities

McAfee ePolicy Orchestrator Multiple Vulnerabilities


Juan José Ruiz

No hay comentarios:

Publicar un comentario en la entrada