我们正在使用 Centos 7 存储库中提供的 Apache 2.4.6 的当前版本。使用 yum 安装。
我们正在处理 PCI 合规性问题,报告指出:
IP Address: x
Host: x
Path:
THREAT REFERENCE
Summary:
vulnerable Apache version: 2.4.6
Risk: High (3)
Port: 443/tcp
Protocol: tcp
Threat ID: web_server_apache_version
Details: Apache HTTP Server mod_proxy_fcgi Response Handling Vulnerability
11/21/14
CVE 2014-3583
Apache HTTP Server before 2.4.11 is prone to a vulnerability,
which can be exploited to cause a DoS (Denial of Service).
The vulnerability exists due to an overflow condition in mod_proxy_fcgi.
when handling responses from FastCGI servers. The vulnerability can be exploited by
sending a crafted response from a malicious FastCGI server, which could lead to a
crash when reading past the end of a heap memory.
Apache HTTP Server NULL Pointer Dereference Vulnerability
10/08/14
CVE 2014-3581
Apache HTTP Server 2.4.10 and earlier is prone to a vulnerability,
which can be exploited to cause a DoS (Denial of Service).
The vulnerability exists because the application contains flaw in
the cache_merge_headers_out() function which is
triggered when handling an empty 'Content-Type' header value.
Multiple Vulnerabilities Fixed in Apache HTTP Server 2.4.10
07/24/14
CVE 2014-0117
CVE 2014-0118
CVE 2014-0226
CVE 2014-0231
CVE 2014-3523
Apache HTTP Server before 2.4.10 is prone to multiple vulnerabilities,
which can be exploited to cause a DoS (Denial of Service).
The vulnerabilities exist because the application contains flaw in
mod_proxy, mod_deflate, mod_status, and mod_cgid modules and
in the winnt_accept function of WinNT MPM.
Note: the WinNT MPM denial of service vulnerability can only
be exploited when the default AcceptFilter is used.
Apache HTTP Server Two Denial of Service Vulnerabilities
03/19/14
CVE 2013-6438
CVE 2014-0098
Apache HTTP Server before 2.4.9 is prone to two vulnerabilities,
which can be exploited to cause a DoS (Denial of Service).
The first vulnerability exists due to an error in the mod_log_config module when logging
with truncated cookies. The second vulnerability is due to a boundary error in the mod_dav
module when removing leading spaces.
HTTP-Basic Authentication Bypass Vulnerability
08/14/09
Apache 2.2.2 and prior are prone to an authentication-bypass vulnerability
because it fails to properly enforce access restrictions on certain requests to a site that requires authentication.
An attacker can exploit this issue to gain access to protected resources,
which may allow the attacker to obtain sensitive information or launch further attacks.
Apache HTTP Server OS Fingerprinting Unspecified Security Vulnerability
11/03/08
Apache 2.2.9 and prior is prone an unspecified security vulnerability.
Information From Target:
Service: https
Received: Server: Apache/2.4.6 (CentOS) OpenSSL/1.0.1e-fips PHP/5.6.13
我们每周更新一次服务器“yum update”
但是当我执行:rpm -q --changelog httpd | grep CVE 我可以看到这个:
- 核心:修复块头解析缺陷(CVE-2015-3183)和ap_force_authn钩子(CVE-2015-3185)
- 核心:修复通过分块请求绕过 mod_headers 规则的问题(CVE-2013-5704)
- mod_cache:修复空 Content-Type 上的 NULL 指针取消引用 (CVE-2014-3581)
- mod_cgid:添加针对 CVE-2014-0231 的安全修复程序(#1120608)
- mod_proxy:添加针对 CVE-2014-0117 的安全修复程序(#1120608)
- mod_deflate:添加针对 CVE-2014-0118 的安全修复程序(#1120608)
- mod_status:添加针对 CVE-2014-0226 的安全修复程序(#1120608)
- mod_cache:添加针对 CVE-2013-4352 的安全修复 (#1120608)
- mod_dav:添加针对 CVE-2013-6438 的安全修复程序(#1077907)
- mod_log_config:添加针对 CVE-2014-0098 的安全修复程序(#1077907)
我如何应用安全扫描要求的补丁?我找不到 rpm 来执行此操作。
提前致谢。
问候。
答案1
这是使用包管理器的问题之一(或者取决于你如何看待它,是好处之一!)。
一方面,它们通常是旧版本的应用程序,因此容易出现漏洞(并且没有最新功能),但另一方面,它们很稳定。然而,许多供应商(包括 Red Hat 和基于它的 CENTOS)通常会将必要的修复程序移植到这些版本,但这可能对漏洞扫描来说并不明显。
有人可能会说,像您这样的报告有点偷懒,因为他们假设您没有仅根据版本号应用补丁,而实际上可以轻易看出(或询问是否)您使用了包管理器,然后可以测试它是否已应用补丁。 不过,这取决于扫描是如何完成的,以及他们如何确定您所使用的版本。 如果他们可以访问你的服务器,那么我想他们可以证实这一点。 如果他们通过任何其他方式做到这一点,例如基于您返回的 HTTP 标头,那么我想他们无法验证您是否已修补,因此他们提出这个问题是正确的(顺便说一句,如果您返回了特定的版本号,您可能不应该在 HTTP 标头中返回特定的版本号!)。
最后你应该意识到这份报告通常是可能的问题,并且您完全有权利提供证据证明您认为这些问题已得到解决或缓解 - 例如您在问题中提供的证据以及您有一个定期修补计划的事实......等等。这里仍然存在风险(例如,补丁之间出现的任何风险和/或如果您长时间忘记修补)并且任何报告都正确地强调该风险,但它们通常会将报告中的错误减少为警告,以强调这种风险降低。