NessusでVPSサーバーの脆弱性診断 PHPのバージョン情報漏洩

NessusでVPSサーバー(CentOS6.2)の脆弱性診断を行った際、重要度は”Medium”で、PHPのバージョンが分かってしまうという脆弱性がありました。

Nessusの”Web App Tests”というポリシーのタイプで私が管理しているVPSサーバーをスキャンしてみると、「PHP expose_php Information Disclosure」という重要度が”Medium”の脆弱性がレポートされました。
 リモートからのWebのアクセスでPHPのバージョンが分かってしまう状態でした。
 
Nessusのレポートに解決法が示されていましたが、以下のようにPHPの設定ファイルphp.iniの下記項目を変更して対応しました。
 
expose_php = On
  ↓
expose_php = Off
 
●php.iniの保存場所
 
php.iniファイルの保存場所は以下の方法で確認できます。

$ rpm -qc php | grep php.ini
$ rpm -qc php-common | grep php.ini
/etc/php.ini

phpパッケージ内にあるファイルかと思ったのですが、php-commonというパッケージ内のファイルでした。
 
/etc/php.ini内で”expose_php = Off”のように設定を変更し、Aapacheを再起動します。
 
※Apacheの設定との関連と動作確認については下記記事参照。
PHPのバージョン情報とApacheの設定

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください