Nessus でいくつかのサーバーをスキャンしていますが、理解できないことがあります。Nessus は、Web サーバーが Apache/2.2.16 (Debian 上) であることを検出します。http://httpd.apache.org/security/vulnerabilities_22.htmlにアクセスすると、この Apache バージョンに影響を与える多くの脆弱性を確認できます。
ただし、Nessus はこれらの脆弱性に関連するものを何も検出しませんでした。たとえば、プラグイン 50070 "Apache 2.2 > 2.2.17 Multiple Vulnerabilities" は起動されませんでした。
このプラグインと利用可能なすべてのプラグインが有効になっていることを確認しました (すべてのプラグインを有効にして完全なスキャンを行いました)。
私の質問は、http://httpd.apache.org/security/vulnerabilities_22.htmlにリストされている脆弱性を持つ古い Apache バージョンを実行していることを Nessus が通知しなかったのはなぜですか? 私は私に通知すること
重要: Range ヘッダーのリモート DoS CVE-2011-3192
Apache HTTP サーバーが Range HTTP ヘッダーを処理する方法に欠陥が見つかりました。リモートの攻撃者は、この脆弱性を利用して、特別に細工された Range ヘッダーを使用した HTTP リクエストを介して、httpd に大量のメモリと CPU 時間を使用させる可能性があります。これは、サービス拒否攻撃に使用される可能性があります。
は重要。
前もって感謝します :)