我的网站已经过 PCI 合规性扫描。发现的漏洞:
Apache HTTP Server Zero-Length Directory Name in LD_LIBRARY_PATH Vulnerability, CVE-2012-0883
Apache HTTP Server mod_rewrite Terminal Escape Sequence Vulnerability, CVE-2013-1862
Apache HTTP Server XSS Vulnerabilities via Hostnames, CVE-2012-3499 CVE-2012-4558
该站点在 Ubuntu 12.04 LTS 上的 apache2 (2.2.22-1ubuntu1.4) 上运行。'apt-get upgrade' 表示它已经是最新版本。
我找到了http://ubuntuforums.org/showthread.php?t=2011603并将 apache2 升级到 2.4。但是升级后,apache2 没有启动并给了我可怕的错误。所以我删除了它并重新安装了apache2 2.2.22。
我用谷歌搜索了这个问题,发现一些页面提到了补丁,但我不明白它们。我的服务器管理技能非常有限。
你能帮我解决这个问题吗?在我的情况下,使 apache2 PCI 兼容的最简单方法是什么?
谢谢。
山姆
首先,您向供应商展示这些,这表明您正在运行的软件已经针对所列漏洞进行了修复,或者不受这些漏洞的影响:
版本字符串检查是检查这些漏洞的一种糟糕的方式,扫描中的命中都是误报。
然后,如果供应商不接受这个证明(有些人对此非常糟糕),请停止让您的服务器向他们展示他们正在使用的内容来错误地得出您的服务器“易受攻击”的结论:
ServerSignature Off
ServerTokens Prod
| 归档时间: |
|
| 查看次数: |
937 次 |
| 最近记录: |