【发布时间】:2012-03-26 04:34:25
【问题描述】:
我正在尝试使我的服务器符合 PCI 标准。我需要解决的最后一个问题是从 Apache ETag 标头中删除 INode。所以我在 httpd.conf 中定义了这一行:“FileETag MTime Size”只返回 MTime 和 Size。
<Directory "/var/www/html">
Options FollowSymLinks
AllowOverride None
Order allow,deny
Allow from all
FileETag MTime Size
</Directory>
此修复解决了标准端口 80 的问题。
现在,我还在端口 8000 上运行了主机控制面板 (ISPConfig3)。运行 PCI 合规性测试后,我收到此错误:
Apache ETag 标头公开了 inode 编号 严重性:潜在问题 CVE:CVE-2003-1418 影响:远程攻击者可以确定 inode 服务器上的号码。分辨率 使用 http://httpd.apache.org/docs/2.2/mod/core.html#FileETag FileETag 指令从计算中删除 INode 组件 电子标签。例如,将以下行放在 Apache 配置文件以仅基于文件的计算 ETag 修改时间和大小:FileETag MTime Size 漏洞详情: 服务:8000:TCP
我假设我必须在 httpd.conf 中添加一些内容才能将 FileETag 应用于在端口 8000 上运行的所有应用程序。
请建议应该怎么做。
谢谢! 开尔文
【问题讨论】:
标签: apache security httpd.conf pci-compliance