English

◀◁ 뒤로 취약점ID 22135 위험도 20 포트 80, ... 프로토콜 TCP 분류 WWW 상세설명 해당 Apache 웹서버는 원격지의 사용자들이 http://servername/server-info의 URL을 요청할 때 서버 설정 정보를 액세스하게 해 준다. Apache 웹서버를 디폴트로 설치하게 되면 서버 Root 경로명, Config 파일 경로명 등과 같은 서버 설정정보를 보여 줌으로써 서버 관리에 도움을 줄 목적으로 이 기능이 작동된다. 악의적인 사용자는 이 정보를 서버에 대한 보다 정교한 공격을 시도하는 데에 이용할 수 있다. * 참고 사이트: http://cgi.nessus.org/plugins/dump.php3?id=10678 해결책 이 기능을 사용하지 않는다면 httpd.conf 파일에 있는 해당되는 섹션을 주석처리 하여야 한다. 그렇지 않고 정말 사용해야 한다면 관리자 시스템에서만 액세스할 수 있도록 액세스를 제한하여야 한다. foo.com 도메인에 있는 브라우저들에서만 상태 정보들을 볼 수 있게 하기 위해서는 access.conf 설정파일에 다음 코드를 추가하여야 한다: <Location /server-info> SetHandler server-info order deny,allow deny from all allow from .foo.com </Location> 이 설정정보가 효력을 발휘하게 하기 위해서는 다음과 같이하여 설정파일을 httpd가 다시 읽어 들이도록 하여야 한다: # apachectl restart 관련 URL (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)