Recentemente ho bisogno di preoccuparmi di molte vulnerabilità false positive nei risultati dello scanner sulla versione di Apache. Esempio di vulnerabilità falsa positiva:
Apache 2.2 < 2.2.16 Multiple Vulnerabilities
I nostri clienti eseguono scanner e controllano la versione di Apache relativa alla numerazione ufficiale della versione di Apache.
Utilizziamo Centos e la numerazione delle versioni di Apache è diversa dalla numerazione ufficiale della versione di Apache.
Ad esempio ora installiamo httpd-2.2.15-26.el6.centos.x86_64
e include tutte le patch di sicurezza rilasciate da Apache nelle ultime versioni.
La numerazione delle versioni di Centos Apache si basa sulla numerazione delle versioni di Apache RedHat e non modifica il numero di base (httpd-2.2.15) ogni aggiornamento.
Ma gli scanner non "capiscono" questo e controllano che 2.2.15 < 2.2.16
.
Puoi indicarmi il buon documento che spiega la numerazione delle versioni di RedHat Apache?
Sai se esistono scanner che "capiscono" la numerazione delle versioni di RedHat Apache?