Ce document décrit la position de Trellix par rapport à la prise en charge d’un produit ou d’un service Trellix.
Réponse Trellix à Apache vulnérabilité CVE-2022-22721 :
Présentation
Ce document traite des préoccupations relatives à ePolicy Orchestrator (ePO) et à la vulnérabilité de type serveur HTTP Apache documentée dans
CVE-2022-22721.
Description
CVE-2022-22721 :
Si
LimitXMLRequestBody est défini sur autoriser les corps de demande supérieurs à 350 Mo (par défaut à 1m) sur les systèmes 32 bits, un débordement d’entier se produit, ce qui entraîne par la suite des écritures hors limites. Ce problème affecte Apache serveur 2.4.52 http et versions antérieures.
Recherches et conclusions
L’équipe d’ingénierie ePO a revu cette CVE et a déterminé qu’elle n’est pas applicable à ePO. ePO n’utilise et ne définit pas explicitement cette directive
LimitXMLRequestBody; . par conséquent, la valeur par défaut s’applique, ce qui n’est pas concerné par ce problème. Par conséquent, ePO n’est pas vulnérable.