NessusでVPSサーバーの脆弱性診断 ヘッダーのApacheバージョン

NessusでVPSサーバー(CentOS6.2)の脆弱性診断を行った際、重要度は”Info”ですが、Webサーバー(Apache)のパージョンが分かってしまうという項目がありました。

Webリクエストに対する応答で、ヘッダーにApacheのバージョン情報が含まれていたのです。
 

Telnetで確認


 
TelnetでHTTPリクエストの送受信の様子を表示し、HTTPヘッダーの情報を確認することができます。
 

# telnet localhost 80
 
GET / HTTP/1.1
 
HTTP/1.1 400 Bad Request
Date: Wed, 13 Nov 2013 01:31:29 GMT
Server: Apache/2.2.15 (CentOS)

上記のようにヘッダーに”Server: Apache/2.2.15 (CentOS)”とApacheのバージョンが表示されています。
 
バージョンが分かると各バージョン固有の脆弱性が分かるので、リスクが高まってしまいます
 

Apacheの設定変更


 
修正方法もNessusのレポートに記載されています。以下のように修正します。
 
ServerTokens OS
  ↓
ServerTokens Prod[uctOnly]
 
上記設定変更後、Apacheを再起動します。
 
●修正後の確認
 
Telnetで確認します。

# telnet localhost 80
 
GET / HTTP/1.1
 
HTTP/1.1 400 Bad Request
Date: Wed, 13 Nov 2013 01:36:33 GMT
Server: Apache

Apacheのバージョンは表示されないようになりました。

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください