1 votes

MajorWales avatar

Apache httpOnly Cookie Information Disclosure CVE-2012-0053

Demandé el 30 de Mars, 2012
Quand la question a-t-elle été
6055 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Un scan de conformité PCI, sur un serveur CentOS LAMP, échoue avec ce message. Le site server l'en-tête et ServerSignature n'exposent pas la version d'Apache.

Apache httpOnly Cookie Information Disclosure CVE-2012-0053

Peut-on résoudre ce problème en spécifiant simplement un modèle personnalisé de ErrorDocument pour la réponse 400 Bad Request ? Comment l'analyseur détermine-t-il cette vulnérabilité, invoque-t-il une mauvaise requête puis regarde-t-il s'il s'agit de la réponse par défaut Apache 400 ?

Demandé el 30 de Mars, 2012 par MajorWales

Réponses

Trop de publicités?

2voto

Haluk avatar
Haluk Points 873

Je viens de me battre avec un problème similaire. Je pense que beaucoup de gens vont commencer à chercher Apache 2.2.22 ces jours-ci, en raison de la nouvelle exigence PCI.

Dans mon cas, il s'avère que la mise à jour vers 2.2.3-63 corrige le CVE-2012-0053. Vérifiez : http://rpmfind.net/linux/RPM/centos/updates/5.8/i386/RPMS/mod_ssl-2.2.3-63.el5.centos.1.i386.html

Vous n'aurez donc peut-être pas besoin de mettre à jour la 2.2.22.

Une fois que vous aurez effectué la mise à niveau vers la version 2.2.3-63 ou ultérieure, vous devriez recevoir votre approbation. Si vous ne la recevez pas lors de votre première soumission, demandez un examen manuel de ce problème particulier et renvoyez-les au correctif que vous avez appliqué.

Voici une bonne question qui est assez similaire : Comment mettre à jour Apache de la version 2.2.3 à la version 2.2.21 ? Vérifiez les réponses ici.

Répondu el 5 de Avril, 2012 par Haluk (873 Points )

2voto

Supa Dupa Fly avatar
Supa Dupa Fly Points 11

Les gars, ce n'est pas vrai que la seule façon de résoudre ce problème est de faire une mise à jour. Tout ce que vous devez faire, c'est ErrorDocument 400 "un message ici".

Bonne chance.

Répondu el 12 de Juillet, 2012 par Supa Dupa Fly (11 Points )

1voto

Dada avatar
Dada Points 634

Non, c'est un modéré défaut en apache le noyau lui-même. Lorsqu'il reçoit une requête malformée ou longue, Apache expose certaines informations sur sa version et son système d'exploitation. Ces informations peuvent hypothétiquement être utilisées par les coupables pour élaborer une attaque sur votre serveur en utilisant toute autre vulnérabilité connue ou inconnue dans votre système d'exploitation et votre logiciel serveur. En soi, il ne fait rien de dangereux, il ne fait qu'informer les esprits curieux un peu plus que ce qu'ils devraient normalement savoir. Il ne peut être résolu qu'en mettant à niveau apache à la version 2.2.22.

Répondu el 30 de Mars, 2012 par Dada (634 Points )

1voto

Brad avatar
Brad Points 3206

このページ suggère que le problème est atténué en fournissant un ErrorDocument personnalisé et qu'il est résolu dans Apache 2.2.22.

Votre meilleure chance de le vérifier est de créer votre propre ErrorDocument ou de mettre à jour Apache et de relancer l'analyse.

Répondu el 30 de Mars, 2012 par Brad (3206 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X