我的服务器已扫描漏洞,他们要求升级你的 Apache 服务器,但 CentOS 存储库不提供Apache > 2.2.15。如果此版本存在漏洞,那么为什么 CentOS 不在相应目录中提供较新的版本以供升级
Title: vulnerable Apache version: 2.2.15 Impact: A remote attacker could
crash the web server, disclose certain sensitive information, or execute
arbitrary commands. Data Received: Server: Apache/2.2.15 (CentOS)
Resolution: [http://httpd.apache.org/download.cgi] Upgrade Apache 2.0.x
to a version higher than 2.0.64 when available, 2.2.x to 2.2.22 or higher. or a
version higher than 2.4.2, or install an updated package from your Linux
现在我正在寻找升级 Apache 版本的方法。
请建议我该怎么做?
答案1
2.2.22(以及 2.2.23;2.2.24 似乎今天已经发布,所以可能还没有)中修复的所有安全问题都已被移植到 RHEL 和 RHEL 衍生产品(如 CentOS)的当前软件包中。
假设您使用的是 CentOS 存储库中最新的 httpd 包,那么您的安全扫描程序是错误的;简单地查看版本字符串是一种非常不可靠的方法,无法检测系统是否存在漏洞,因为商业中使用的所有主要 Linux 发行版都使用相同的方法来反向移植安全修复程序(无需升级到全新版本)。
简单的解决方法;不要让有故障的扫描仪使用其有缺陷的检测逻辑做出错误的猜测,并ServerTokens Prod在ServerSignature Off您的 Apache 中进行配置。