apache 2.2.15 在 CentOS 6.3 上容易受到攻击吗？

Question

我的服务器已扫描漏洞，他们要求升级您的 Apache 服务器，但 CentOS 存储库不提供Apache > 2.2.15. 如果此版本易受攻击，那么为什么 CentOS 不提供更新的版本以在相应目录中进行升级

Title: vulnerable Apache version: 2.2.15 Impact: A remote attacker could
crash the web server, disclose certain sensitive information, or execute
arbitrary commands. Data Received: Server: Apache/2.2.15 (CentOS)
Resolution: [http://httpd.apache.org/download.cgi] Upgrade Apache 2.0.x
to a version higher than 2.0.64 when available, 2.2.x to 2.2.22 or higher. or a
version higher than 2.4.2, or install an updated package from your Linux

现在我正在寻找一种升级Apache版本的方法。

请给我建议 我该怎么走？

Answer 1

2.2.22 中修复的所有安全问题（以及 2.2.23 就此而言；2.2.24 似乎已经在今天发布，所以可能还没有出现）已向后移植到 RHEL 和 RHEL 衍生产品（如 CentOS）的当前软件包中。

假设您使用的是 CentOS 存储库中最新的 httpd 软件包，那么您的安全扫描器是错误的；简单查看版本字符串是检测系统是否易受攻击的非常不可靠的方法，因为商业中使用的所有主要 Linux 发行版都使用相同的方法向后移植安全修复程序（无需升级到全新版本）。

简单的解决方法；不要让有缺陷的扫描程序使用他们有缺陷的检测逻辑做出错误的猜测，ServerTokens Prod并ServerSignature Off在您的 Apache 中配置和。