Veo los puntos de schroeder y de symcbean. Esto es lo que he discutido con los clientes durante los últimos 15 años aproximadamente.
El hecho de que su escáner de vulnerabilidad diga que algo es vulnerable no significa necesariamente que lo sea. Déjame explicarte.
En su ejemplo, las alertas en mod_lua probablemente se basen en la versión de Apache instalada y no en la detección real de mod_lua cargada en la memoria. En el mejor de los casos, sabe que el módulo está instalado y cargado en la memoria. Sin embargo, ¿su aplicación web realmente lo utiliza?
Un gran problema es que la mayoría de los escáneres de vulnerabilidad en el mercado proporcionan poca información sobre el método de detección, por no mencionar la evidencia real.
Aunque eso explica por qué obtuviste posibles falsos positivos, no resuelve tu problema. Honestamente, si estos son los servidores de su empresa, presione para realizar un análisis de vulnerabilidad con credenciales. Obtendrá datos mucho más precisos para trabajar.
Entonces, ¿qué sucede si realiza un análisis con credenciales y aún ve la vulnerabilidad mod_lua?
Parte de su programa de administración de vulnerabilidades debe incluir el uso de su metodología de evaluación de riesgos para evaluar si necesita mitigar (arreglar) o aceptar el riesgo de esa vulnerabilidad.
¿Qué sucede si no tiene una metodología de evaluación de riesgos?
Lo haces ... todos lo hacen. Es posible que no esté documentado y que toda la compañía no comparta su metodología, pero inherentemente, usted toma decisiones basadas en el riesgo todos los días. Si su empresa no tiene un programa formal de evaluación / gestión de riesgos, sugeriría insinuar a los superiores que es un ahorro de tiempo y dinero. Si está bien estructurado, dicta lo que se aborda y en qué orden.
Volver a mod_lua. Si mod_lua está en el servidor, actualice. Mejor aún, si el sitio web no utiliza el lenguaje de scripts Lua, elimine el módulo de la configuración de Apache y mod_lua.so del servidor.