McAfee ha publicado el Hotfix 1014944 para ePolicy Orchestrator 4.x y 5.x que solventa tres vulnerabilidades de SSLv3.
Este hotfix ha sido desarrollado para su uso con las siguientes versiones de McAfee ® ePolicy Orchestrator ® (McAfee ePO™):
-
ePolicy Orchestrator 4.6.x
-
ePolicy Orchestrator 5.0.x
-
ePolicy Orchestrator 5.1.0
-
ePolicy Orchestrator 5.1.1 (build 357)
Clasificación del parche: Mandatory (obligatoria)
Esta actualización debe ser aplicada de forma inmediata para evitar una potencial brecha de seguridad.
Para obtener más información acerca de clasificación de parches, consulte el artículo de la base de conocimientos de McAfee KB51560.
Problemas resueltos:
Ambas vulnerabilidades descritas a continuación involucran ataques de denegación de servicio mediante fuga de datos en memoria. Para más información consulte los enlaces a continuación:
-
McAfee Security Bulletin SB10091
Versiones de OpenSSL afectadas:
-
OpenSSL 0.9.8a-zb
-
OpenSSL 1.0.0a-n
-
OpenSSL 1.0.1a-i2
Versiones de OpenSSL que no están afectadas:
-
OpenSSL 0.9.8zc
-
OpenSSL 1.0.0m
-
OpenSSL 1.0.1j
Notas para el administrador:
-
Si se instala este hotfix y, posteriormente, se vuelve a instalar el servidor ePO entonces será necesario volver a instalar el hotfix. Este hotfix se incluirá en próximos parches para Epo.
-
Instale el hotfix sobre el servidor ePO sobre los Agent Handler (si los hubiera) en los que la versión de OpenSSL no sea la 1.0.1.10 o superior.
-
Este Hotfix substituye todos los archivos de Apache y de Open SSL utilizados por ePO debido a la dependencia que existe entre estas dos tecnologías.
Verificación de la instalación del Hotfix:
Abra la carpeta de instalación de McAfee ePO o del Agent Handler
-
McAfee ePO: <ePO Install folder>\Apache2\bin
-
Agent Handler: <AH Install folder>\apache\bin
Haga clic con el botón derecho sobre le archivo ssleay32.dll y seleccione Propiedades; en la pestaña detalles verá los siguientes valores:
-
Versión del fichero: 1.0.1.10
-
Versión del Producto: 1.0.1j
Pulse aquí para descargar el Hotfix 1014944
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 7 de Noviembre de 2014