Versión de Apache falsa positiva en los resultados del escáner en Centos

Navega tus respuestas
1

Recientemente, necesito cuidar muchas vulnerabilidades falsas positivas en los resultados del escáner en la versión Apache. Ejemplo de vulnerabilidad falsa positiva: 

Apache 2.2 < 2.2.16 Multiple Vulnerabilities

Nuestros clientes ejecutan escáneres y verifican la versión de Apache relacionada con la numeración oficial de la versión de Apache.

Usamos Centos, y la numeración de la versión de Apache es diferente de la numeración oficial de la versión de Apache.

Por ejemplo, ahora instalamos httpd-2.2.15-26.el6.centos.x86_64 e incluye todos los parches de seguridad lanzados por Apache en versiones recientes.

La numeración de la versión de Centos Apache se basa en la numeración de la versión de RedHat Apache y no cambian el número base (httpd-2.2.15) cada actualización. Pero los escáneres no "entienden" esto y comprueban que 2.2.15 < 2.2.16 .

¿Puede indicarme el buen documento que explica la numeración de las versiones de RedHat Apache?

¿Sabe si existe un escáner que "entienda" la numeración de la versión de RedHat Apache?

    
pregunta Michael 27.12.2013 - 17:59
fuente

2 respuestas

3

Lo que estás experimentando es un problema común. Los escáneres de vulnerabilidad que se basan en los banners de servicio no tratan con proveedores como Red Hat, que realiza actualizaciones de seguridad de puerto. También son propensos a hacer suposiciones sobre la configuración que conducen a falsos positivos.

Es posible que pueda mejorar la precisión de la exploración ejecutando una exploración con credenciales. Si su escáner lo admite, puede especificar las credenciales de la cuenta que usará para iniciar sesión y ver la información "interna". Por ejemplo, puede usar 'rpm' para determinar qué paquete real de Apache está instalado y basar su veredicto en lugar de la pancarta que el servicio imprime en escáneres externos. Dicho escáner debería tener acceso a una base de datos actualizada que le dirá cuáles son los problemas reales.

Si su escáner no lo hace, entonces la solución habitual es hacerlo usted mismo. Tendría que buscar si está ejecutando la versión más reciente. Por ejemplo, @Rook señala que hay vulnerabilidades de Apache más nuevas que el paquete al que hace referencia. Mirando esas vulnerabilidades, puede extraer el ID de CVE y buscarlo en la Base de datos de CVE de Red Hat . Por ejemplo, su entrada para CVE-2013-1862 le señala la errata RHSA-2013:0815 que dice que httpd-2.2.15-28 contiene correcciones para ese CVE. También señala que hay una versión más nueva de RHBA, así que hay un paquete más nuevo con correcciones de errores (pero no de seguridad). Repita ese proceso para cualquier otra CVE que le preocupe y puede tomar una decisión informada sobre si está parcheado a pesar de lo que dice el banner. Si el paquete de CentOS es una correlación directa con el paquete de RHEL, debería estar bien, pero el paquete de RHEL se anunció el 5/13, por lo que no sé cómo la fecha de lanzamiento de 3/2 de @Rook coincide con eso. p>

(La versión más corta, BTW, es "sí, este material es un PITA conocido".)

    
respondido por el gowenfawr 27.12.2013 - 18:53
fuente
1

Todas las herramientas de seguridad producen falsos positivos, y esto no debería tratarse de manera diferente. Si tiene problemas con este informe, sugiero que busque un enfoque diferente para las pruebas, tal vez uno que no dependa de una herramienta rota.

Dicho esto, httpd-2.2.15-26.el6.centos.x86_64 se lanzó el 2 de marzo de 2013, y ha habido un par de vulnerabilidades encontradas en Apache desde 2 de marzo . Lo mejor sería verificar manualmente que estas exposiciones no le afectan.

    
respondido por el rook 27.12.2013 - 18:09
fuente

Lea otras preguntas en las etiquetas

Hablando de HTTP simple a través de un puerto de servidor habilitado para SSL [cerrado] Bloquear todos los métodos de escaneo de Nmap en Windows [cerrado]