NessusでVPSサーバー(CentOS6.2)の脆弱性診断を行った際、重要度は”Medium”で、PHPのバージョンが分かってしまうという脆弱性がありました。
Nessusの”Web App Tests”というポリシーのタイプで私が管理しているVPSサーバーをスキャンしてみると、「PHP expose_php Information Disclosure」という重要度が”Medium”の脆弱性がレポートされました。
リモートからのWebのアクセスでPHPのバージョンが分かってしまう状態でした。
Nessusのレポートに解決法が示されていましたが、以下のようにPHPの設定ファイルphp.iniの下記項目を変更して対応しました。
expose_php = On
↓
expose_php = Off
●php.iniの保存場所
php.iniファイルの保存場所は以下の方法で確認できます。
$ rpm -qc php | grep php.ini $ rpm -qc php-common | grep php.ini /etc/php.ini
phpパッケージ内にあるファイルかと思ったのですが、php-commonというパッケージ内のファイルでした。
/etc/php.ini内で”expose_php = Off”のように設定を変更し、Aapacheを再起動します。
※Apacheの設定との関連と動作確認については下記記事参照。
PHPのバージョン情報とApacheの設定