Este documento descreve a posição do Trellix em relação ao suporte de um produto ou serviço da Trellix.
Resposta do Trellix para a vulnerabilidade do Apache CVE-2022-22721:
Visão geral
Este documento aborda as preocupações com o ePolicy Orchestrator (ePO) e a vulnerabilidade do servidor HTTP Apache, documentadas no
CVE-2022-22721.
Descrição
CVE-2022-22721:
Se
LimitXMLRequestBody o estiver configurado para permitir corpos de solicitação maiores do que 350 MB (o padrão é 1 m) em sistemas de bit 32, ocorrerá um estouro de número inteiro, o que causará gravações fora de ligação. Esse problema afeta o Apache servidor 2.4.52 http e versões anteriores.
Pesquisa e conclusões
A equipe de engenharia do ePO analisou este CVE e determinou que ele não se aplica ao ePO. o ePO não usa e define essa política
LimitXMLRequestBody; explicitamente, portanto, o padrão se aplica, o que não é afetado por esse problema. Portanto, o ePO não é vulnerável.