Como atualizar o apache2 para PCI

Navegue suas respostas
1

Meu site foi verificado quanto à conformidade com o PCI. Vulnerabilidades encontradas: 

Apache HTTP Server Zero-Length Directory Name in LD_LIBRARY_PATH Vulnerability, CVE-2012-0883
Apache HTTP Server mod_rewrite Terminal Escape Sequence Vulnerability, CVE-2013-1862
Apache HTTP Server XSS Vulnerabilities via Hostnames, CVE-2012-3499 CVE-2012-4558

O site está sendo executado no apache2 (2.2.22-1ubuntu1.4) no Ubuntu 12.04 LTS. 'apt-get upgrade' diz que já é a última versão.

Eu encontrei o link e atualizei o apache2 para o 2.4. Mas depois da atualização, o apache2 não iniciou e me deu erros terríveis. Então eu removi e reinstalei o apache2 2.2.22.

Eu pesquisei por esse problema e encontrei algumas páginas mencionando patch, mas não as entendi. Minha habilidade de gerenciamento de servidores é muito limitada.

Você pode me ajudar com esse problema? Qual é a maneira mais fácil de tornar o apache2 compatível com PCI na minha situação?

Obrigado.

Sam

    
por Sam Kong 20.01.2014 / 06:01

1 resposta

5

Primeiro, você mostra ao fornecedor, que mostra que está executando um software que já está corrigido ou não é afetado pelas vulnerabilidades listadas:

A verificação de string de versão é uma maneira terrível de verificar essas vulnerabilidades, e as ocorrências na verificação são todas falso-positivas.

Então, se o fornecedor não aceitar essa prova (alguns são realmente ruins nisso), pare de fazer com que seu servidor mostre o que está usando para concluir erroneamente que seu servidor está "vulnerável": 

ServerSignature Off
ServerTokens Prod
    
por 20.01.2014 / 06:24

Tags

Recuperando espaço que 'df' diz que deve estar disponível eu ainda preciso bloquear ataques no meu servidor uma vez que eu bloquear por ip?