我正在使用Nessus扫描一些服务器,并且有些东西我不明白。 Nessus检测到Web服务器是Apache / 2.2.16(在Debian上)。如果您转到http://httpd.apache.org/security/vulnerabilities_22.html,您可以看到许多影响此Apache版本的漏洞。
但是,Nessus没有检测到与这些漏洞相关的任何内容。例如,插件50070“Apache 2.2> 2.2.17 Multiple Vulnerabilities”未被触发。
我已经检查过这个插件和所有可用的插件是否已激活(我在所有插件都已激活时进行了完整扫描)。
所以我的问题是为什么Nessus没有通知我我正在运行一个旧的Apache版本,其中列出了http://httpd.apache.org/security/vulnerabilities_22.html上列出的漏洞?我用
通知我的事情 重要:范围标题远程DoS CVE-2011-3192
在Apache HTTP Server处理Range HTTP标头的方式中发现了一个缺陷。远程攻击者可以使用此缺陷导致httpd通过具有特制Range头部的HTTP请求使用过多的内存和CPU时间。这可以用于拒绝服务攻击。
很重要。
提前致谢:)
答案 0 :(得分:0)
我建议您降低性能设置(每个主机最多同时检查,每次扫描最多同时主机数),以便您在扫描时获得更准确的结果。