McAfee soluciona diversos fallos de seguridad de ePolicy Orchestrator

Las versiones de 4.6.6, y 5.0 solventan las vulnerabilidades detectadas en McAfee ePolicy Orchestrator, las cuales podrían haber comprometido la confidencialidad, integridad y disponibilidad del sistema afectado.

McAfee ha publicado un boletín de seguridad que soluciona varias vulnerabilidades de su producto ePolicy Orchestrator, también conocido como McAfee ePo. Concretamente, los problemas de seguridad afectaban a ePo 4.5.x y 4.6.x y se deben a versiones vulnerables de OpenSSL y Java incluidas en este software.

Son tres las vulnerabilidades solucionadas. La primera es un error en los protocolos TLS y DTLS al no considerar correctamente los posibles ataques de tiempo en la comprobación del MAC (Message authentication code) al procesar el relleno CBC mal formado, un problema común en la implementación de OpenSSL que podría permitir a un atacante remoto revelar información sensible a través del envío de paquetes manipulados y un análisis estadístico de tiempos.

También se ha solucionado un error en el componente Libraries de Java JRE, que podría comprometer la confidencialidad, integridad y disponibilidad del sistema afectado de forma remota, así como otro error en el componente Libraries podría afectar a la integridad del sistema.

Ya están disponibles las versiones de 4.6.6, y 5.0 de McAfee ePolicy Orchestrator que solventan las vulnerabilidades anteriores, mientras que la versión 4.5.7, que será lanzada a mediados de mayo, también solucionará estás vulnerabilidades.

 Fuente