扫描程序中错误阳性Apache版本在Centos上的结果

Question

最近，我需要关注Apache版本扫描仪结果中的许多假阳性漏洞。假阳性漏洞示例：

Apache 2.2 < 2.2.16 Multiple Vulnerabilities

我们的客户运行扫描仪，他们检查与Apache官方版本编号相关的Apache版本。

我们使用Centos，Apache版本编号与正式的Apache版本编号不同。

例如，现在我们安装了httpd-2.2.15-26.el6.centos.x86_64，它包含了Apache在最近版本中发布的所有安全补丁。

Centos版本编号依赖于RedHat Apache版本编号，并且它们不会更改每个更新的基号(httpd-2.2.15)。但是扫描仪不能“理解”这一点，并检查2.2.15 < 2.2.16。

您能告诉我解释RedHat Apache版本号的好文档吗？

您知道是否存在“了解”RedHat Apache版本编号的扫描器吗？

Answer 1

所有的安全工具都会产生假阳性，这一点不应该被区别对待。如果您对这份报告有问题，我建议您寻求一种不同的测试方法，也许是一种不依赖于坏了的工具的方法。

尽管如此，httpd-2.2.15-26.el6.centos.x86_64已于2013年3月2日发布，而且3月2日以来在Apache中发现了几个漏洞已经发布。最好是手动验证您不受这些曝光的影响。