Vulnérabilité de type
serveur HTTP McAfee dans Apache réponse d’entreprise
CVE-2021-26691.
Présentation
Ce document traite des problèmes relatifs à ePolicy Orchestrator et à la
vulnérabilité du serveur HTTP Apache documentée dans
CVE-2021-26691.
Pour plus d’informations, voir
CVE-2021-26691.
Description CVE-2021-26691
Dans Apache versions
2.4.0 de serveur http vers
2.4.46 , un en-tête de session spécialement conçu envoyé par un serveur d’origine pouvait provoquer un débordement de tas.
Recherches et conclusions
L’équipe d’ingénierie ePO a revu cette CVE et l’a déterminée comme
n’étant pas applicable à ePO :
- ePO ne gère pas la gestion des sessions utilisateur dans Apache.
- ePO ne charge pas le module mod_session vulnérable nécessaire pour cette fonction.