Présentation
Ce document traite des préoccupations concernant ePO et une vulnérabilité de type Apache. Ce rapport reflète les questions relatives à
CVE-2017-9798et se réfère à l'
avis de sécurité Apachesuivant.
Description
Apache httpd permet aux attaquants distants de lire les données secrètes à partir de la mémoire du processus si la directive Limit peut être définie dans le fichier d'
.htaccess un utilisateur ou si
httpd.conf certaines configurations incertaines ont été configurées (par exemple,
Optionsbleed ). L’attaquant envoie une demande HTTP d’OPTIONS non authentifiées lors de la tentative de lecture des données confidentielles. Ce problème est un problème d’utilisation après libération. les données secrètes ne sont donc pas toujours envoyées. Les données spécifiques varient en fonction de nombreux facteurs, notamment de la configuration.
Recherches et conclusions
L’équipe d’ingénierie a étudié la vulnérabilité CVE et la conclusion est qu’ePO n’est
pas vulnérable.
Par défaut, la méthode HTTP est désactivée dans ePO Apache Server. Toute personne qui exécute des OPTIONS sur ePO Apache voit une réponse
HTTP 403 interdite . Par défaut, il n’y a aucune erreur de configuration ou de paramètres incorrects pour la directive Limit dans notre fichier de configuration Apache, qui est l’une des causes racines de cette vulnérabilité.
Remarque : Toute autre fonctionnalité ou toute autre version de produit mentionnée dans la base de connaissances est conçue pour présenter la direction générale du produit et ne doit pas être considérée comme un engagement ou pour prendre une décision d’achat.