概要
このドキュメントは ePO と最近の Apache の脆弱性に関する問題を解決します。 このレポートには CVE-2017-979 に関する質問が反映されています。最新の情報は Apache Security Advisory を参照してください

http://httpd.apache.org/security/vulnerabilities_24.html


説明
Apache の httpd では、ユーザーの .htaccess ファイルに Limit ディレクティブを設定できる場合や、 httpd.conf に誤った設定 ( 例えば、Optionsbleed ) がある場合、攻撃者が遠隔でプロセスメモリから機密データを読み取ることができます。 攻撃者は、機密データの読み取り時に、認証されていない OPTIONS HTTP 要求を送信します。 この問題は解放されたメモリを使用する問題であるため、機密データが必ずしも送信されるわけではなく、データは設定を含む多くの要因に依存します。


検証と結論 :
エンジニアリングチームが CVE を研究した結果、 ePO は脆弱ではないという結論に至りました。

OPTIONS HTTP メソッドは、デフォルトでは ePO Apache サーバーで無効になっています。 ePO Apache に対して OPTIONS を実行している人は 403 Forbidden HTTP 応答が表示されます。 また、デフォルトでは、 Apache 設定ファイルの Limit ディレクティブに誤った設定や不正な設定がありません。 ( この脆弱性の根本原因の1つ )

注: Knowledge Base に記載されている将来の製品機能やリリースは、当社の製品の一般的な方向性を概説することを目的としており、また、購入を決定する場合にも使用する必要があります。