martes, 23 de julio de 2013

Fallo Seguridad EPo McAfee

Se han anunciado diversos problemas de seguridad en McAfee ePolicy
Orchestrator que podrían permitir la realización de ataques de
Cross-Site Scripting y de inyección SQL.

McAfee ePolicy Orchestrator, también conocido como McAfee ePo, es una
consola de administración que permite la gestión centralizada de la
seguridad para sistemas, redes, datos y soluciones de cumplimiento de
normativas.

Estos problemas de seguridad afectan a McAfee ePolicy Orchestrator 4.6.6
(y versiones anteriores) y a ePO Extension para McAfee Agent (MA) 4.5 a
4.6.

Se han detectado multiples scripts que no filtran de forma adecuada el
código HTML de las entradas de usuario antes de ser devueltas al
usuario. Esto permite a usuarios remotos generar ataques de cross-site
scripting que podrían permitir la ejecución arbitraria de código script
en el navegador del usuario. Con ello el atacante podría acceder a las
cookies (incluyendo las de autenticación) y a información recientemente
enviada, además de poder realizar acciones en el sitio haciéndose pasar
por la víctima.

Los archivos afectados son los siguientes:
/core/loadDisplayType.do [instanceId parameter]
/console/createDashboardContainer.do [monitorUrl parameter]
/console/createDashboardContainer.do [monitorUrl parameter]
/ComputerMgmt/sysDetPanelBoolPie.do [uid parameter]
/ComputerMgmt/sysDetPanelQry.do [uid parameter]
/ComputerMgmt/sysDetPanelQry.do [sysDetPanelQry parameter]
/ComputerMgmt/sysDetPanelSummary.do [sysDetPanelSummary parameter]
/ComputerMgmt/sysDetPanelSummary.do [uid parameter]

Un segundo problema reside en la posibilidad de realizar ataques de
inyección SQL ciega. Solo usuarios autenticados pueden explotar esta
vulnerabilidad que reside en los siguientes archivos .do:
/core/showRegisteredTypeDetails.do [parámetro uid]
/EPOAGENTMETA/DisplayMSAPropsDetail.do [parámetro uid]

McAfee ha publicado las versiones McAfee Agent 4.8 Extension y McAfee
Agent 4.6 Patch 3 Extension Hotfix para solucionar los problemas de
inyección SQL, disponible en: http://www.mcafee.com/us/downloads
Los problemas de cross-site scriptong se solucionarán en ePO 4.6.7, que
está planificado para publicar a finales del tercer cuatrimestre del
2013.

martes, 7 de mayo de 2013

Instalación de Epo McAfee

Hola,

Tras muchos muchos meses de ausencia y tranquilidad escribo de nuevo, esta vez haré un recorrido desde principio y fin para este Software.

En este nuevo Post indico que pasos se debe seguir para la instalación del servidor McAfee ePolicy Orchestrator 4.0. Para ello tendremos que tener en cuenta ciertos aspectos que un servidor requiere:

Hadware
  1. 1,5 Gb de espacion en disco, recomiendo 2 Gb.
  2. Entre 2 Gb y 4 Gb de memoria RAM
  3. Procesado superior  a 1 GHz
  4. Sistema de Fichero NTFS
  5. ePolicy Orchestrator recomiendo usar IP estática.
Software

  1. Sistema Operativo de la Familia Windows ( Server 2000 superior ).
  2. Versión Explorer 6 + SP1 ó Superior.
  3. El servidor debe tener una relación de confianza con el servidor de dominio principal.
  4. Si la plataforma es virtual necesita VMware esx 3.0  con Windows Server 2005.
  5. Evidentemente debe tener instalado una BBDD  (SQL 2005 , MSDE 2000, SQL 2000)
PD: ePolicy Orchestrator 4.0 no es compatible con MSDE 7 o SQL 7

Una vez entendido estas premisas procederemos a la instalación del Software:
Una vez dentro del SO accederemos a la carpeta donde este nuestro software y ejecutaremos SETUP.EXE, recordamos que si tenemos instalado una BBDD y queremos utilizarla con Epo debe estar activa, en caso contrario el propio software instalará otra BBDD, para lo cual el proceso de instalación nos dirá los paquetes necesarios.

Ejecutaremos setup.exe, pulsaremos siguiente y aceptamos el acuerdo de licencia, elegimos ubicación a instalar el software,segidamente añadiremos la password para posteriormente entrar en la consola.
Nos pedirá los puertos a asignar, (si se desea cambiar porque ya estan en uso), y añadiremos correo electrónico para posteriores notificaciones.

Como veis la instalación es bastante sencilla, aunque en la instalación ePolicy Orchestrator 4.0 en Cluster varía un poco siendo poco más complejo que la realizada.


miércoles, 10 de marzo de 2010

ePO. ePolicy Orchestrator

ePolicy Orchestrator es una herramienta de seguridad informática muy eficaz en la que se puede gestionar directivas de seguridad, evaluar, identificar y realizar acciones en sistemas no fiables y recibir las diversas notificaciones.
ePO tiene diversos componentes, en los que más adelante hablaremos de ello, entre los diversos componentes están:
  • Servidores de ePolicy Orchestrator.
  • Servidor de base de datos.
  • Consolas de Epolicy Orchestrator.
  • Agente de ePolicy Orchestrator.
  • Sensor de detección de sistemas no fiables.
  • Repositorio principal.
  • Repositorios de actualización.
  • Servidor de ePolicy Orchestrator, es un servidor que gestiona otros servidores hasta los 250.000, jejeje unos cuantos. Este servidor proporciona directivas de seguridad, actualizaciones, comunicaciones... Este servidor tiene que estar dedicado, se accede a través de una consola desde otro servidor o desde el mismo.
    Servidor de base de datos, no hace falta mucho comentar, almacena datos el cual está representado a través de un árbol, y en la que contine datos de los sitemas gestionados.
    Consolas ePolicy orchestrator, puede haber varias o muchas dependiendo del administrador pero siempre habrá una que será local.
    Agente de ePolicy Orchestrator, interactua entre la aplicación información de servidor con cada sistema gestionado. Todos los sistemas que se quiera gestionar deberan tener este componente.
    Sensor de detección de sistemas no fiables, es el encargado de avisar cuando un sistema no fiable (no tiene agente ePolicy Orchestrator instalado) entra en el entorno y puede iniciar una respuesta automática por un usuario de dicho sistema. Estos sensores escuchan las comunicaciones a nivel 2 en la subred. Aunque puede desplegar varios sensores en la red.
    Repositorio principal, es la ubicación central de todas las actualizaciones de los productos McAfee. El repositorio conecta con el sitio de descargas de McAfee. Este repositorio contiene una copia del contenido del sitio de descarga de McAfee.
    Repositorio de actualización, están distribuidos en todo entorno para que los sistemas puedan acceder y extraer los archivos DAT y actualizaciones e instalaciones de productos. Estos repositorios se pueden crear en http , ftp, recursos compartidos UNC o crear un repositorio de actualización por subred, y crear una subred de repositorio con uno principal llamado SuperAgent.

    Mirar manual EPO.