Descripción general
En este documento se abordan las preocupaciones sobre ePO y una vulnerabilidad de Apache. Este informe refleja las preguntas sobre
CVE-2017-9798y hace referencia a la siguiente
Apache asesoría de seguridad.
Descripción
Apache httpd permite a los atacantes remotos leer los datos secretos de la memoria de proceso si la Directiva de límite se puede establecer en el archivo de un usuario
.htaccess , o bien si
httpd.conf tiene ciertas configuraciones incompletas (por ejemplo,
Optionsbleed ). El atacante envía una solicitud HTTP de opciones no autenticadas al intentar leer datos secretos. Este problema es un problema de uso tras la liberación, por lo que no siempre se envían los datos secretos. Los datos específicos dependen de muchos factores, incluida la configuración.
Investigación y conclusiones
El equipo de Ingeniería ha investigado el CVE y la conclusión es que ePO
no es vulnerable.
El método HTTP opciones se desactiva de forma predeterminada en el servidor de Apache de ePO. Cualquiera que ejecute opciones en ePO Apache verá 403 una respuesta
http no permitida . De forma predeterminada, no existe ningún defecto de configuración o configuración incorrecta en la Directiva de límite de nuestro Apache archivo de configuración, que es una de las causas de la raíz de esta vulnerabilidad.
Nota: Toda la funcionalidad o las nuevas versiones de los productos que se mencionan en el base de conocimiento están pensadas para esbozar nuestra dirección general del producto y no se debe confiar, ni como compromiso ni para tomar una decisión de compra.