La compañía de seguridad americana McAfee ha publicado un boletín que soluciona varios problemas de seguridad en su producto ePolicy Orchestrator y que podrían comprometer la confidencialidad, integridad y disponibilidad del sistema afectado.

McAfee ePolicy Orchestrator, también conocido como McAfee ePo, es una consola de administración que permite la gestión centralizada de la seguridad para sistemas, redes, datos y soluciones de cumplimiento de normativas. 

 
Estos problemas de seguridad afectan a ePo 4.5.x y 4.6.x y se deben a versiones vulnerables de OpenSSL y Java incluidas en este software. 
 

Las vulnerabilidades (algunas no ofrecen muchos detalles) son las siguientes: 
 
* CVE-2013-0169:
un error en los protocolos TLS y DTLS al no considerar correctamente los posibles ataques de tiempo en la comprobación del MAC (Message authentication code) al procesar el relleno CBC mal formado. 
Esto podría permitir a un atacante remoto revelar información sensible a través del envío de paquetes especialmente manipulados y un análisis estadístico de tiempos. Este problema es común en la implementación de OpenSSL y muchos otros programas. 

* CVE-2013-1484:
un error en el componente Libraries de Java JRE podría comprometer la confidencialidad, integridad y disponibilidad del sistema afectado de forma remota. 
 
* CVE-2013-1485:
otro error en el componente Libraries podría afectar a la integridad del sistema. 
 
Se encuentran disponibles las versiones de 4.6.6, y 5.0 que solventan las vulnerabilidades anteriores.  McAfee ePolicy Orchestrator 4.5.7, que será lanzada a mediados de mayo, también solucionará estás vulnerabilidades. 
 
Opina sobre esta noticia: 
http://unaaldia.hispasec.com/2013/04/vulnerabilidades-en-mcafee-epolicy.html#comments
 
Más información:
 
McAfee Security Bulletin SB10041 – ePO update fixes two vulnerabilities
https://kc.mcafee.com/corporate/index?page=content&id=SB10041
 
McAfee ePolicy Orchestrator Multiple Vulnerabilities
http://www.securelist.com/en/advisories/53159

Fuente:
Juan José Ruiz
jruiz@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Logotipos/Imágenes/Texto MR Respectiva/s Compañía/s mencionada/s en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar