概述
此文档解决了有关 ePO 和最近的 Apache 漏洞的担忧。 此报告反映了以下问题
CVE-2017-9798,并参考此处发布的最新 Apache 安全咨询:
http://httpd.apache.org/security/vulnerabilities_24.html
描述
如果可以在用户的 .htaccess 文件中设置 Limit 指令,或者如果 httpd.conf 存在某些错误配置(例如,Optionsbleed),Apache httpd 允许远程攻击者从进程内存中读取机密数据。 攻击者在尝试读取机密数据时 HTTP 请求发送未经身份验证的选项。 此问题是无使用后的问题,因此不会始终发送机密数据,具体数据取决于包括配置在内的多种因素。
研究和结论
工程团队已对 CVE 进行了研究,结论是 ePO
不容易受攻击。
默认情况下,ePO Apache 服务器中禁用了 HTTP 方法选项。 任何针对 ePO Apache 运行选项的人都将看到
403 Forbidden HTTP 响应。 此外,默认情况下,我们的Apache配置文件中没有任何对限制指令的错误配置或错误设置(这是此漏洞的根本原因之一)。
注意: 知识库中提及的任何未来产品功能或版本都旨在概述我们的一般产品方向,不应将其视为承诺或作出购买决策时的依赖。