Panoramica
Questo documento affronta le preoccupazioni relative a ePO e una vulnerabilità Apache. Questo rapporto riflette le domande relative a
CVE-2017-9798e si riferisce al seguente
Apache Advisory sulla sicurezza.
Descrizione/Controlli
Apache httpd consente agli aggressori remoti di leggere i dati segreti dalla memoria dei processi se la direttiva Limit può essere impostata nel file di
.htaccess un utente o se
httpd.conf dispone di determinate configurazioni errate (ad esempio,
Optionsbleed ). L'autore dell'attacco invia una richiesta HTTP OPTIONS non autenticata quando tenta di leggere i dati segreti. Questo problema è un problema di utilizzo immediato, pertanto i dati segreti non vengono sempre inviati. I dati specifici variano in base a molti fattori, inclusa la configurazione.
Ricerca e conclusioni
Il team di Engineering ha studiato il CVE e la conclusione è che ePO non è
vulnerabile.
Il metodo HTTP di opzioni è disattivato per impostazione predefinita in ePO Apache Server. Chiunque esegua opzioni contro ePO Apache Visualizza una risposta
HTTP 403 Forbidden . Per impostazione predefinita, non disponiamo di configurazioni errate o di impostazioni non corrette per la direttiva Limit nel nostro file di configurazione Apache, che è una delle cause principali di questa vulnerabilità.
Nota: Tutte le future funzionalità o rilasci di prodotto menzionati nella Knowledge base hanno lo scopo di delineare la nostra direzione generale del prodotto e non devono essere invocati, come impegno o quando si effettua una decisione di acquisto.