CentOS LAMP 服务器上的 PCI 合规性扫描失败并显示此消息。server标头ServerSignature不公开 Apache 版本。
Apache httpOnly Cookie Information Disclosure CVE-2012-0053
只需为 400 Bad Request 响应指定一个自定义响应,就可以解决这个问题ErrorDocument吗?扫描器如何确定此漏洞?是调用错误请求,然后查看它是否是默认的 Apache 400 响应吗?
答案1
这一页建议通过提供自定义 ErrorDocument 来缓解此问题,并在 Apache 2.2.22 中解决此问题。
验证这一点的最佳方法是制作您自己的 ErrorDocument 或升级 Apache 并再次运行扫描。
答案2
刚刚遇到了类似的问题。我认为由于新的 PCI 要求,最近很多人都会开始搜索 Apache 2.2.22。
就我的情况来看,升级到 2.2.3-63 可以修复 CVE-2012-0053。请查看:http://rpmfind.net/linux/RPM/centos/updates/5.8/i386/RPMS/mod_ssl-2.2.3-63.el5.centos.1.i386.html
所以您可能不需要升级 2.2.22。
一旦您升级到 2.2.3-63 或更高版本,您应该会收到批准,如果您在第一次提交时没有收到批准,请要求对此特定问题进行手动考虑,并将其引至您应用的补丁。
这是一个非常相似的好问题:如何将 Apache 从 2.2.3 升级到 2.2.21 查看那里的答案。
答案3
伙计们,修复这个问题的唯一方法不是升级。你需要做的就是 ErrorDocument 400 “这里有一些消息”
祝你好运。
答案4
不,这是适度的缺陷在apache核心本身中。当收到格式错误或长请求时,Apache 会公开有关其版本和操作系统的某些信息。理论上,这些信息可以被罪犯利用,利用操作系统和服务器软件中任何其他已知或未知的漏洞对您的服务器发起攻击。它本身不会做任何有害的事情,只会告诉好奇的人比他们通常应该知道的更多一点。只有升级apache到版本 2.2.22 才能解决这个问题。