Uma verificação de conformidade com PCI, em um servidor CentOS LAMP, falha com essa mensagem. O server header e ServerSignature não expõem a versão do Apache.
Apache httpOnly Cookie Information Disclosure CVE-2012-0053
Isso pode ser resolvido simplesmente especificando um ErrorDocument personalizado para a resposta de 400 solicitações incorretas? Como o mecanismo de varredura está determinando essa vulnerabilidade, ela está invocando uma solicitação incorreta e, em seguida, procurando ver se é a resposta padrão do Apache 400?
Esta página sugere que ela seja atenuada pelo fornecimento de um ErrorDocument personalizado e que ele seja resolvido no Apache 2.2.22.
Sua melhor aposta para verificar isso é fazer seu próprio ErrorDocument ou atualizar o Apache e executar a verificação novamente.
Apenas lutei com um problema semelhante. Eu acho que muitas pessoas vão começar a procurar pelo Apache 2.2.22 atualmente, devido ao novo requisito PCI.
No meu caso, a atualização para o 2.2.3-63 corrige o CVE-2012-0053. Confira: link
Então talvez você não precise atualizar o 2.2.22.
Depois de atualizar para a versão 2.2.3-63 ou posterior, você deve receber sua aprovação. Se não receber a aprovação em sua primeira inscrição, peça uma análise manual sobre esse problema em particular e encaminhe-o para o patch aplicado por você. .
Eis uma boa pergunta que é bem parecida: Como atualizar o Apache de 2.2.3 para 2.2.21 Confira as respostas lá.
Pessoal, não é verdade que a única maneira de corrigir isso é através da atualização. Tudo que você precisa fazer é ErrorDocument 400 "alguma mensagem aqui"
Boa sorte.
Não, é uma moderada falha em apache core em si. Ao se tornar malformado ou longo, o pedido do apache expõe certas informações sobre sua versão e sistema operacional. Essas informações, hipoteticamente, podem ser usadas por culpados para criar um ataque ao seu servidor usando qualquer outra vulnerabilidade conhecida ou desconhecida no sistema operacional e no software do servidor. Por si só, não está fazendo nada prejudicial, apenas contando a mentes curiosas um pouco mais do que normalmente elas deveriam saber. Ele pode ser resolvido apenas atualizando apache para a versão 2.2.22.
Tags security apache-2.2 centos