- PR -

apache(mod_auth_any)の脆弱性について

1
投稿者投稿内容
未記入
大ベテラン
会議室デビュー日: 2007/07/03
投稿数: 136
投稿日時: 2007-09-20 22:42
nessus3で検査したらapacheのmod_auth_anyモジュールに脆弱性があるのでパッチを
当てるようにと出ました。
しかしながら、ググってみるとこの脆弱性が発見されたのは2003年で影響のあるシステムは
Redhat7,RedhatEL2となっており、RHNにもEL2用のrpmしか置いてませんでした。
うちのサーバーはEL3でインストールCDのapache2のrpmが使われており、EL3のリリースノート
によるとmod_auth_anyパッケージはEL3では削除されているとあります。

どのように対応すれば良いのでしょうか?誤検知なのでしょうか?
ピザ男
会議室デビュー日: 2007/09/20
投稿数: 3
投稿日時: 2007-09-21 01:02
私なら対策不要(誤検知とはちょっと違う)と判断します。

Nessus3も何度か使用しましたが、Apacheの脆弱性に対応するプラグインは、
Apacheのバージョンチェックのみでそういう報告を出してきます。
既にパッチが当たっていてもチェックしない(できない)はずです。

そのため、人間がその脆弱性の詳細を調べてそのモジュールがロードされているか、
さらにパッチは当たっているか、OSは対象バージョンなのか等等を確認します。
とりあえず、"apache -l"等のコマンドでmod_auth_anyモジュールがロード
されていないことさえ確認できれば対策不要と判断して良いのではないでしょうか。

# よくよく考えてみれば、Nessusの検査ってのはTCP/IP経由でしかできないわけで、
# 「疑わしきは全て報告」っていう動作ポリシーはごく当然だと思います。
# そのおかげでペネトレの殆どはそういう確認作業になっちゃうんですけどね…
未記入
大ベテラン
会議室デビュー日: 2007/07/03
投稿数: 136
投稿日時: 2007-09-21 09:44
回答ありがとうございます。
httpd -l コマンドで確認したところ、mod_auth_anyはロードされていませんでした。
対策不要としたいと思います。
1

スキルアップ/キャリアアップ(JOB@IT)