Мой сервер просканировал на наличие уязвимостей, и они просят обновить ваш сервер Apache, но репозитории CentOS не предоставляют Apache > 2.2.15. Если эта версия уязвима, то почему CentOS не предоставляет более новую версию для обновления в соответствующих каталогах
Title: vulnerable Apache version: 2.2.15 Impact: A remote attacker could
crash the web server, disclose certain sensitive information, or execute
arbitrary commands. Data Received: Server: Apache/2.2.15 (CentOS)
Resolution: [http://httpd.apache.org/download.cgi] Upgrade Apache 2.0.x
to a version higher than 2.0.64 when available, 2.2.x to 2.2.22 or higher. or a
version higher than 2.4.2, or install an updated package from your Linux
Сейчас ищу способ обновить версию Apache.
Пожалуйста, посоветуйте мне, как мне пройти?
Все проблемы безопасности, исправленные в 2.2.22 (и 2.2.23, если на то пошло; 2.2.24, похоже, вышли сегодня, так что, вероятно, еще не они) были перенесены в текущие пакеты для RHEL и производных RHEL, таких как CentOS.
Предполагая, что вы используете последний пакет httpd в репозитории CentOS, ваш сканер безопасности ошибается; Простой просмотр строки версии - очень ненадежный метод определения уязвимости системы, поскольку все основные дистрибутивы Linux, используемые в бизнесе, используют один и тот же метод резервного копирования исправлений безопасности (без обновления до полностью новых версий).
Легкое обходное решение; не позволяйте неисправным сканерам делать неверные предположения, используя свою логику обнаружения дефектов, и настройте ServerTokens Prod и ServerSignature Off в вашем Apache.