Versione di Apache falsa positiva nei risultati dello scanner su Centos

1

Recentemente ho bisogno di preoccuparmi di molte vulnerabilità false positive nei risultati dello scanner sulla versione di Apache. Esempio di vulnerabilità falsa positiva:

Apache 2.2 < 2.2.16 Multiple Vulnerabilities

I nostri clienti eseguono scanner e controllano la versione di Apache relativa alla numerazione ufficiale della versione di Apache.

Utilizziamo Centos e la numerazione delle versioni di Apache è diversa dalla numerazione ufficiale della versione di Apache.

Ad esempio ora installiamo httpd-2.2.15-26.el6.centos.x86_64 e include tutte le patch di sicurezza rilasciate da Apache nelle ultime versioni.

La numerazione delle versioni di Centos Apache si basa sulla numerazione delle versioni di Apache RedHat e non modifica il numero di base (httpd-2.2.15) ogni aggiornamento. Ma gli scanner non "capiscono" questo e controllano che 2.2.15 < 2.2.16 .

Puoi indicarmi il buon documento che spiega la numerazione delle versioni di RedHat Apache?

Sai se esistono scanner che "capiscono" la numerazione delle versioni di RedHat Apache?

    
posta Michael 27.12.2013 - 17:59
fonte

2 risposte

3

Quello che stai vivendo è un problema comune. Gli scanner di vulnerabilità basati su banner di servizio non si occupano di fornitori come Red Hat che eseguono il backport degli aggiornamenti di sicurezza. Sono anche inclini a fare supposizioni sulla configurazione che portano a falsi positivi.

Potresti essere in grado di migliorare la precisione della scansione eseguendo una scansione credenziale. Se lo scanner lo supporta, è possibile specificare le credenziali dell'account che utilizzerà per accedere e osservare le informazioni "interne". Ad esempio, può utilizzare 'rpm' per determinare quale effettivo pacchetto Apache è installato, e basare il proprio verdetto su questo piuttosto che sul banner che il servizio stampa su scanner esterni. Tale scanner dovrebbe avere accesso a un database aggiornato che gli dirà quali sono i veri problemi.

Se il tuo scanner non lo farà, allora la solita soluzione è farlo da solo. Dovresti cercare se stai utilizzando la versione più recente. Ad esempio, @Rook sottolinea che ci sono vulnerabilità di Apache più nuove rispetto al pacchetto di riferimento. Esaminando tali vulnerabilità, è possibile estrarre l'ID CVE e cercarlo nel database CVE di Red Hat. Ad esempio, la loro voce per CVE-2013-1862 ti indirizza all'errata RHSA-2013:0815 che dice che httpd-2.2.15-28 contiene le correzioni per quel CVE. Sottolinea inoltre che c'è una versione più recente di RHBA, quindi c'è un nuovo pacchetto con correzioni di bug (ma non di sicurezza). Ripeti la procedura per tutti gli altri CVE che ti interessano e puoi prendere una decisione informata sul fatto che tu sia stato sottoposto a patch nonostante ciò che il banner dice. Se il pacchetto CentOS è una correlazione diretta con il pacchetto RHEL, dovresti stare bene - ma il pacchetto RHEL è stato annunciato il 5/13, quindi non so come @ cita la data di rilascio di 3 Rook citata con quella.

(La versione più corta, BTW, è "sì, questa roba è un PITA conosciuto.")

    
risposta data 27.12.2013 - 18:53
fonte
1

Tutti gli strumenti di sicurezza producono falsi positivi, e questo non dovrebbe essere trattato in modo diverso. Se hai problemi con questo rapporto, ti suggerisco di cercare un approccio diverso ai test, forse uno che non dipende da uno strumento rotto.

Ciò detto httpd-2.2.15-26.el6.centos.x86_64 è stato rilasciato il 2 marzo 2013 e ci sono state un paio di vulnerabilità trovate in Apache da 2 marzo . Sarebbe meglio verificare manualmente di non essere interessati da queste esposizioni.

    
risposta data 27.12.2013 - 18:09
fonte

Leggi altre domande sui tag