Visão geral
Este documento aborda preocupações com o ePO e uma vulnerabilidade de Apache. Este relatório reflete as perguntas sobre o
CVE-2017-9798e refere-se ao seguinte
Apache comunicado de segurança.
Descrição
Apache httpd permite que atacantes remotos leiam dados secretos a partir da memória do processo se a diretiva de limite puder ser definida no arquivo de um usuário
.htaccess ou se
httpd.conf houver determinadas configurações incorretas (por exemplo,
Optionsbleed ). O atacante envia uma solicitação HTTP de opções não autenticadas ao tentar ler dados secretos. Esse problema é um problema de uso gratuito, portanto, os dados secretos nem sempre são enviados. Os dados específicos dependem de muitos fatores, incluindo a configuração.
Pesquisa e conclusões
A equipe de engenharia fez uma pesquisa no CVE e a conclusão é que o ePO
não está vulnerável.
O método HTTP OPTIONS é desativado por padrão no servidor ePO Apache. Qualquer pessoa que esteja executando opções no ePO Apache vê uma resposta
http proibida 403 . Por padrão, não temos nenhuma configuração incorreta ou configurações erradas para a política de limite em nosso Apache arquivo de configuração, que é uma das causas raiz dessa vulnerabilidade.
Nota: Qualquer versão ou lançamento futuro do produto mencionado na Base de conhecimentos tem como objetivo descrever nossa direção geral de produto e não deve ser confiável, seja como um compromisso, ou ao fazer uma decisão de compra.