Este documento descreve a posição de suporte de uma engenharia de apoio em relação a um aplicativa McAfee Enterprise. Este documento aborda as preocupações com o ePO e os módulos instalados com o servidor HTTP Apache.
Descrição
Existem vários escalonamentos do ePO que lidam com o servidor HTTP Apache específico dos módulos instalados. Alguns desses encaminhamentos tiveram vulnerabilidades associadas.
Pesquisa e conclusões
Abaixo encontra-se uma lista dos módulos instalados incluídos no servidor HTTP Apache incluído no ePO.
Módulos instalados:
LoadModule ssl_module modules/mod_ssl.so
LoadModule authz_host_module modules/mod_authz_host.so
LoadModule authz_core_module modules/mod_authz_core.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule mime_module modules/mod_mime.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule headers_module modules/mod_headers.so
LoadModule reqtimeout_module modules/mod_reqtimeout.so
Use as instruções abaixo para confirmar quais módulos foram carregados no servidor ePO ou em qualquer Manipulador de agentes remoto:
- Entre no servidor que hospeda o ePO ou no Manipulador de agentes
- Ir para <ePO or AH Installation Directory>\Apache2\Conf
- Edite o httpd.conf arquivo.
- Procure o nome do módulo que você está verificando. Por exemplo, se você deseja ver se mod_proxy foi carregado, você pesquisaria smod_proxy.
Procure um link semelhante ao fornecido abaixo, usando o mod_proxy exemplo:
#LoadModule proxy_module modules/mod_proxy.so
O # no início de comentários é a saída da linha, o que significa que o módulo não está carregado. Se a linha estiver totalmente ausente, o módulo não será carregado. Se a linha estiver presente, mas não começar com um #, o módulo será carregado.
Isenção
Qualquer data de lançamento futura do produto mencionada nesta declaração tem como objetivo descrever a nossa direção geral de produto. Eles não devem ser confiados na tomada de uma decisão de compra:
- As datas de lançamento do produto são apenas para fins informativos e não podem ser incorporadas a nenhum contrato.
- As datas de lançamento do produto não são um compromisso, promessa ou obrigação legal para fornecer material, código ou funcionalidade.
- O desenvolvimento, a versão e a temporização de quaisquer recursos ou funcionalidades descritas para nossos produtos permanecem a nosso critério exclusivo. A liberação pode ter sido alterada ou cancelada a qualquer momento.