McAfee a resposta empresarial para
Apache vulnerabilidade no servidor http CVE-2021-26691.
Visão geral
Este documento aborda as preocupações com o ePolicy Orchestrator e a
vulnerabilidade do servidor HTTP Apache , documentadas no
CVE-2021-26691.
Para obter detalhes, consulte
CVE-2021-26691.
Descrição CVE-2021-26691
Em Apache versões
2.4.0 do servidor http para
2.4.46 o, um cabeçalho de seção especialmente criado enviado por um servidor de origem pode causar um estouro de heap.
Pesquisa e conclusões
A equipe de engenharia do ePO analisou este CVE e o determinou que ele
não se aplica ao ePO:
- o ePO não lida com nenhum gerenciamento de seção de usuário no Apache.
- o ePO não carrega o módulo de mod_session vulnerável, que é necessário para esta função.