我的网站被扫描了 PCI 合规性。发现的漏洞:
Apache HTTP Server Zero-Length Directory Name in LD_LIBRARY_PATH Vulnerability, CVE-2012-0883
Apache HTTP Server mod_rewrite Terminal Escape Sequence Vulnerability, CVE-2013-1862
Apache HTTP Server XSS Vulnerabilities via Hostnames, CVE-2012-3499 CVE-2012-4558
该站点在 Ubuntu 12.04 LTS 上的 apache2 (2.2.22-1ubuntu1.4) 上运行。'apt-get upgrade' 表示它已经是最新版本。
我找到了http://ubuntuforums.org/showthread.php?t=2011603并将 apache2 升级到 2.4。但是升级后,apache2 没有启动并给了我可怕的错误。所以我删除了它并重新安装了 apache2 2.2.22。
我用谷歌搜索了这个问题,发现一些页面提到了补丁,但我不明白。我的服务器管理技能非常有限。
你能帮我解决这个问题吗?在我的情况下,使 apache2 PCI 兼容的最简单方法是什么?
谢谢。
山姆
首先,您向供应商展示这些,这表明您正在运行的软件已经针对列出的漏洞修复或不受其影响:
版本字符串检查是检查这些漏洞的一种糟糕方法,扫描中的命中都是误报。
然后,如果供应商不接受这个证明(有些人在这方面真的很糟糕),请停止让您的服务器向他们展示他们正在使用什么来错误地得出您的服务器“易受攻击”的结论: