Mises à jour récentes de cet article
Date |
Mise à jour |
12 octobre 2022 |
Déplacement des CVE listés ci-dessous de "Apache CVE Under Investigation" vers la section "Apache CVE Assigned in 2022" :
- CVE-2022-22720
- CVE-2022-22721
- CVE-2022-28614
- CVE-2022-28615
|
11 juillet 2022 |
Ajout de la section "Apache CVE sous enquête". |
14 juin 2022 |
Ajout de la prise en charge de 2.4.53 et des versions antérieures dans la section "Apache CVE attribués en 2022". |
Cet article fournit une liste des CVE pour Apache à partir de 2019. L'article explique si ces CVE ont un impact sur ePO. La plupart des CVE Apache
uniquement s'appliquent pas à ePO, car ePO n'utilise pas une version affectée ou ne charge pas le module concerné.
Les CVE sont répertoriés dans le tableau ci-dessous par ordre décroissant du numéro CVE. Le numéro CVE peut ne pas correspondre à la date à laquelle ils ont été publiés. Nous renvoyons à la définition CVE à
mitre.org ci-dessous. Vous pouvez trouver plus de détails sur les vulnérabilités d'Apache sur cette page du
projet Apache HTTP Server.
Apache CVE attribués en 2022 |
CVE |
Versions d'Apache concernées |
Module concerné |
Article |
Affecte ePO |
Raison pour laquelle ePO n'est pas affecté |
CVE-2022-31813 |
2.4.53 et plus tôt |
mod_proxy |
KB82555 |
Non |
ePO ne charge pas le module concerné pour Apache. |
CVE-2022-30556 |
mod_lua |
CVE-2022-30522 |
2.4.53 uniquement |
mod_sed |
CVE-2022-29404 |
2.4.53 et plus tôt |
mod_lua |
CVE-2022-28615 |
n.d. |
SB10387 |
Oui |
Apache mis à jour vers 2.4.54 dans ePO 5.10 Update 14. |
CVE-2022-28614 |
CVE-2022-28330 |
mod_isapi |
KB82555 |
Non |
ePO ne charge pas le module concerné pour Apache. |
CVE-2022-26377 |
mod_proxy_ajp |
CVE-2022-23943 |
2.4.52 et plus tôt |
mod_sed |
CVE-2022-22721 |
2.4.52 et plus tôt |
n.d. |
KB96056 |
L'équipe d'ingénierie d'ePO a examiné cette CVE et a déterminé qu'elle ne s'applique pas à ePO. ePO n'utilise pas et ne définit pas explicitement cette directive LimitXMLRequestBody;, la valeur par défaut s'applique donc, ce qui n'est pas affecté par ce problème. Par conséquent, ePO n'est pas vulnérable. |
CVE-2022-22720 |
2.4.52 et plus tôt |
n.d. |
SB10387 |
Oui |
n.d. |
CVE-2022-22719 |
mod_lua |
KB82555 |
Non |
ePO ne charge pas le module concerné pour Apache. |
Apache CVE attribués en 2021
|
CVE |
Versions d'Apache concernées |
Module concerné |
Article |
Affecte ePO |
Raison pour laquelle ePO n'est pas affecté |
CVE-2021-44224 |
2.4.7–2.4.51 |
mod_proxy |
KB82555 |
Non |
ePO ne charge pas le module concerné pour Apache. |
CVE-2021-44790 |
2.4.51 et plus tôt |
mod_lua |
CVE-2021-42013 |
2.4.49 et 2.4.50 |
n.d. |
KB94967 |
ePO ne consomme pas de version affectée. |
CVE-2021-41773 |
CVE-2021-41524 |
2.4.49 |
CVE-2021-40438 |
2.4.48 et plus tôt |
mod_proxy |
KB82555 |
ePO ne charge pas le module concerné pour Apache. |
CVE-2021-39275 |
n.d. |
n.d. |
ePO n'utilise aucun module tiers et utilise principalement les modules par défaut d'Apache qui ne sont pas concernés. ePO dispose de modules et de gestionnaires personnalisés implémentés qui sont spécifiques à ePO. Mais, ils ne transmettent pas directement les données non fiables à la fonction vulnérable.
REMARQUE : Apache est mis à niveau vers la version 2.4.51 dans ePO 5.10 Update 13. |
CVE-2021-36160 |
2.4.30–2.4.48 |
mod_proxy_uwsgi |
KB82555 |
ePO ne charge pas le module concerné pour Apache. |
CVE-2021-34798 |
2.4.48 et plus tôt |
n.d. |
SB10379 |
Oui |
n.d. |
CVE-2021-33193 |
2.4.17–2.4.48 |
mod_proxy |
KB82555 |
Non |
ePO ne charge pas le module concerné pour Apache. |
CVE-2021-31618 |
2.4.39–2.4.46 |
mod_http2 |
n.d. |
ePO n'utilise pas une version concernée ou ne charge pas le module concerné. |
CVE-2021-30641 |
2.4.39–2.4.46 |
n.d. |
n.d. |
ePO ne consomme pas de version affectée. |
CVE-2021-26691 |
2.4.0– 2.4.46 |
mod_session |
KB95046 |
ePO n'utilise pas une version concernée ou ne charge pas le module concerné. |
CVE-2021-26690 |
2.4.0– 2.4.46 |
mod_session |
Apache CVE attribués en 2020 |
CVE |
Versions d'Apache concernées |
Module concerné |
Article
|
Affecte ePO |
Raison pour laquelle ePO n'est pas affecté |
CVE-2020-35452 |
2.4.0–2.4.46 |
mod_auth_digest |
KB82555 |
Non |
ePO ne charge pas le module concerné pour Apache. |
CVE-2020-13950 |
2.4.41–2.4.46 |
mod_proxy_http |
Non |
ePO ne consomme pas une version affectée ou ne charge pas le module concerné. |
CVE-2020-13938 |
2.4.0–2.4.46 |
n.d. |
SB10379 |
Oui |
n.d. |
CVE-2020-11993 |
2.4.20–2.4.43 |
mod_http2 |
KB82555 |
Non |
ePO ne charge pas le module concerné pour Apache. |
CVE-2020-11984 |
mod_proxy_uwsgi |
CVE-2020-9490 |
mod_http2 |
CVE-2020-1934 |
2.4.0–2.4.41 |
mod_proxy_ftp |
CVE-2020-1927 |
mod_rewrite |
Apache CVE attribués en 2019 |
CVE |
Versions d'Apache concernées |
Module concerné |
Article
|
Affecte ePO |
Raison pour laquelle ePO n'est pas affecté |
CVE-2019-17567 |
2.4.6– 2.4.46 |
mod_proxy_wstunnel |
KB82555 |
Non |
ePO ne charge pas le module concerné pour Apache. |
CVE-2019-10098 |
2.4.0– 2.4.39 |
mod_rewrite |
CVE-2019-10097 |
2.4.33–2.4.38 |
mod_remoteip |
CVE-2019-10092 |
2.4.0–2.4.39 |
mod_proxy |
CVE-2019-10082 |
2.4.18–2.4.39 |
mod_http2 |
CVE-2019-10081 |
2.4.20–2.4.39 |
CVE-2019-9517 |
SB10296 |
Le bulletin de sécurité indique qu'ePO n'est pas vulnérable, car ePO ne charge pas le module concerné pour Apache. |
CVE-2019-0220 |
2.4.0–2.4.38 |
n.d. |
KB91440 |
ePO n'est pas affecté. |
CVE-2019-0217 |
2.4.0–2.4.38 |
mod_auth_digest |
ePO ne charge pas le module concerné pour Apache. |
CVE-2019-0215 |
2.4.37–2.4.38 |
mod_ssl |
ePO Apache ne prend pas encore en charge TLS1.3. |
CVE-2019-0211 |
2.4.17– 2.4.38 |
n.d. |
ePO est uniquement Windows et cette CVE n'affecte que les systèmes UNIX. |
CVE-2019-0197 |
2.4.34–2.4.38 |
mod_http2 |
ePO ne charge pas le module concerné pour Apache. |
CVE-2019-0196 |
2.4.17–2.4.38 |
n/a = non applicable
Si vous avez des inquiétudes concernant un Apache CVE qui n'est pas répertorié dans cet article, procédez comme suit :
- Collectez les informations ci-dessous :
- Ouvrez une demande de service.
- Si vous êtes un utilisateur enregistré, saisissez votre ID d’utilisateur et votre mot de passe, puis cliquez sur connexion.
- Si vous n’êtes pas un utilisateur enregistré, cliquez sur Enregistrer et renseignez les champs. Votre mot de passe et les instructions vous sont envoyés par e-mail.