在CentOS LAMP服务器上的PCI合规性扫描失败并显示此消息。 server头和ServerSignature不公开Apache版本。
Apache httpOnly Cookie Information Disclosure CVE-2012-0053
这可以通过为400错误请求响应指定一个自定义的ErrorDocument来解决吗? 扫描程序如何确定此漏洞,是否调用了一个错误的请求,然后查看它是否是默认的Apache 400响应?
本页build议通过提供一个自定义的ErrorDocument来缓解它,并且在Apache 2.2.22中parsing它。
validation这一点的最佳方法是制作自己的ErrorDocument或者升级Apache并再次运行扫描。
只是在类似的问题挣扎。 由于新的PCI要求,我想很多人现在都会开始searchApache 2.2.22。
在我的情况下,原来升级到2.2.3-63将修复CVE-2012-0053。 查看: http : //rpmfind.net/linux/RPM/centos/updates/5.8/i386/RPMS/mod_ssl-2.2.3-63.el5.centos.1.i386.html
所以你可能不需要升级2.2.22。
一旦你升级到2.2.3-63或更高版本,如果你在第一次提交时没有得到批准,你应该得到你的批准,要求对这个特定问题进行手动考虑,并把它们提交给你所申请的补丁。
下面是一个很好的问题,它非常相似: 如何将Apache从2.2.3升级到2.2.21查看那里的答案。
伙计们,解决这个问题的唯一方法就是升级。 所有你需要做的是ErrorDocument 400“这里的一些消息”
祝你好运。
不,这是apache核心本身的一个温和的缺陷 。 当得到格式不正确或长时间的请求时,apache会公开有关其版本和操作系统的某些信息。 假设这些信息可以被匪徒利用在您的操作系统和服务器软件中使用任何其他已知或未知的漏洞在您的服务器上发起攻击。 它本身并没有做任何有害的事情,只是比通常他们应该知道的要多一点点好奇心。 它只能通过将apache升级到版本2.2.22来解决。