我的网站已接受 PCI 合规性扫描。发现漏洞:
Apache HTTP Server Zero-Length Directory Name in LD_LIBRARY_PATH Vulnerability, CVE-2012-0883
Apache HTTP Server mod_rewrite Terminal Escape Sequence Vulnerability, CVE-2013-1862
Apache HTTP Server XSS Vulnerabilities via Hostnames, CVE-2012-3499 CVE-2012-4558
该网站在 Ubuntu 12.04 LTS 上的 apache2(2.2.22-1ubuntu1.4)上运行。'apt-get upgrade' 显示它已经是最新版本。
我发现http://ubuntuforums.org/showthread.php?t=2011603并将 apache2 升级到 2.4。但升级后,apache2 无法启动,并给我带来了可怕的错误。所以我删除了它并重新安装了 apache2 2.2.22。
我搜索了这个问题,发现有些页面提到了补丁,但我不明白。我的服务器管理技能非常有限。
你能帮我解决这个问题吗?在我的环境下,让 apache2 符合 PCI 标准的最简单方法是什么?
谢谢。
山姆
答案1
首先,您要向供应商展示这些信息,表明您正在运行的软件已经针对列出的漏洞进行了修复,或者不受这些漏洞的影响:
- http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-3499.html
- http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-4558.html
- http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-1862.html
- http://people.canonical.com/~ubuntu-security/cve/2012/CVE-2012-0883.html
版本字符串检查是检查这些漏洞的一种糟糕的方法,并且扫描中的命中都是误报。
然后,如果供应商不接受这个证明(有些供应商在这方面确实很糟糕),就不要让你的服务器向他们展示他们正在使用什么来错误地得出你的服务器“易受攻击”的结论:
ServerSignature Off
ServerTokens Prod