我的服务器已经扫描了漏洞,他们要求升级你的Apache服务器,但CentOS版本库不提供Apache > 2.2.15 。 如果这个版本很脆弱,那为什么CentOS不提供一个更新的版本去升级到相应的目录
Title: vulnerable Apache version: 2.2.15 Impact: A remote attacker could crash the web server, disclose certain sensitive information, or execute arbitrary commands. Data Received: Server: Apache/2.2.15 (CentOS) Resolution: [http://httpd.apache.org/download.cgi] Upgrade Apache 2.0.x to a version higher than 2.0.64 when available, 2.2.x to 2.2.22 or higher. or a version higher than 2.4.2, or install an updated package from your Linux
现在我正在寻找一种升级Apache版本的方法。
请build议我如何去?
所有在2.2.22(2.2.22和2.2.24)中已经确定的安全问题似乎已经出来了,所以现在可能还没有这些问题已经被支持到当前的RHEL和RHEL衍生产品(如CentOS)的软件包中。
假设您使用的是CentOS存储库中最新的httpd软件包,那么您的安全扫描器是错误的; 简单看一下版本string是检测系统是否易受攻击的一种非常不可靠的方法,因为业务中使用的所有主要Linux发行版都使用了同样的backporting安全修复方法(不升级到全新的版本)。
简单的解决方法; 不要让错误的扫描器使用其有缺陷的检测逻辑进行不正确的猜测,并在Apache中configurationServerTokens Prod和ServerSignature Off 。