En este documento se describe la posición de soporte de la ingeniería con el mantenimiento de una aplicación empresarial McAfee. Este documento aborda las preocupaciones sobre ePO y los módulos instalados con el servidor HTTP Apache.
Descripción
Se han producido varias escalaciones de ePO relacionadas con el Apache servidor HTTP que son específicos de los módulos instalados. Algunas de estas escalaciones tienen vulnerabilidades asociadas.
Investigación y conclusiones
A continuación se muestra una lista de los módulos instalados incluidos en el servidor HTTP de Apache incluido en ePO.
Módulos instalados:
LoadModule ssl_module modules/mod_ssl.so
LoadModule authz_host_module modules/mod_authz_host.so
LoadModule authz_core_module modules/mod_authz_core.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule mime_module modules/mod_mime.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule headers_module modules/mod_headers.so
LoadModule reqtimeout_module modules/mod_reqtimeout.so
Siga las instrucciones que se indican a continuación para confirmar qué módulos se cargan en el servidor de ePO o cualquier Controlador de agentes remoto:
- Inicie sesión en el servidor que aloje ePO o la Controlador de agentes
- Vaya a <ePO or AH Installation Directory>\Apache2\Conf
- Edite el httpd.conf archivo.
- Busque el nombre del módulo que está verificando. Por ejemplo, si desea ver si se carga mod_proxy, buscará smod_proxy.
Busque un vínculo similar al que se indica a continuación, mediante el mod_proxy ejemplo:
#LoadModule proxy_module modules/mod_proxy.so
El carácter # al principio de la línea de salida significa que el módulo no está cargado. Si la línea falta por completo, el módulo no se carga. Si la línea está presente, pero no empieza por un #, se carga el módulo.
Renuncia
Las fechas de publicación de productos futuras que se mencionan en esta declaración tienen como objetivo describir nuestra dirección general del producto. No se debe confiar en que tomar una decisión de compra:
- Las fechas de publicación del producto solo son para fines informativos y no se pueden incorporar en ningún contrato.
- Las fechas de publicación del producto no son una obligación de compromiso, promesa o legal de entregar material, código o funcionalidad.
- El desarrollo, la publicación y la temporización de cualquier función o funcionalidad descrita para nuestros productos sigue siendo nuestra exclusiva discreción. La liberación puede cambiarse o cancelarse en cualquier momento.