O apache 2.2.15 está vulnerável no CentOS 6.3?

4

Meu servidor verificou vulnerabilidades e está pedindo que atualize seu servidor Apache, mas os repositórios do CentOS não fornecem Apache > 2.2.15 . Se esta versão é vulnerável, então porque o CentOS não fornece uma versão mais recente para atualizar nos respectivos diretórios

Title: vulnerable Apache version: 2.2.15 Impact: A remote attacker could
crash the web server, disclose certain sensitive information, or execute
arbitrary commands. Data Received: Server: Apache/2.2.15 (CentOS)
Resolution: [http://httpd.apache.org/download.cgi] Upgrade Apache 2.0.x
to a version higher than 2.0.64 when available, 2.2.x to 2.2.22 or higher. or a
version higher than 2.4.2, or install an updated package from your Linux

Agora estou procurando uma maneira de atualizar a versão do Apache.

Por favor me sugira Como eu vou?

    
por sunlight 25.02.2013 / 11:58

1 resposta

5

Todos os problemas de segurança corrigidos no 2.2.22 (e 2.2.23 para o caso; 2.2.24 parece ter saído hoje, provavelmente não são ainda) foram enviados para os pacotes atuais de derivados RHEL e RHEL como CentOS.

Supondo que você esteja no pacote mais recente do httpd no repositório do CentOS, o seu scanner de segurança está errado; uma simples olhada na versão string é um método pouco confiável para detectar se um sistema é vulnerável, já que todas as principais distribuições Linux usadas nos negócios usam o mesmo método de backporting de correções de segurança (sem atualizar para versões novas).

Solução fácil; não deixe que os scanners defeituosos façam estimativas incorretas usando sua lógica de detecção falha, e configure ServerTokens Prod e ServerSignature Off no seu Apache.

    
por 26.02.2013 / 07:06