扫描了我的网站以符合PCI规范。 find的漏洞:
Apache HTTP Server Zero-Length Directory Name in LD_LIBRARY_PATH Vulnerability, CVE-2012-0883 Apache HTTP Server mod_rewrite Terminal Escape Sequence Vulnerability, CVE-2013-1862 Apache HTTP Server XSS Vulnerabilities via Hostnames, CVE-2012-3499 CVE-2012-4558 该站点在Ubuntu 12.04 LTS上的apache2(2.2.22-1ubuntu1.4)上运行。 “apt-get upgrade”表示它已经是最新版本了。
我发现http://ubuntuforums.org/showthread.php?t=2011603并将apache2升级到2.4。 但升级后,apache2没有启动,给了我可怕的错误。 所以我删除它,并重新安装apache2 2.2.22。
我search这个问题,发现一些页面提到补丁,但我不明白他们。 我的服务器pipe理技能非常有限。
你能帮我解决这个问题吗? 在我的情况下,使apache2 PCI兼容的最简单的方法是什么?
谢谢。
山姆
首先,向供应商展示这些信息,这些信息显示您正在运行的软件已经修复或不受上述漏洞影响:
版本string检查是检查这些漏洞的一个可怕的方法,扫描中的命中都是误报。
那么,如果供应商不接受这个certificate(有些真的很糟糕),那就停止让服务器向他们展示他们用来错误地断定你的服务器是“脆弱的”的结论:
ServerSignature Off ServerTokens Prod