我在Centos服务器上部署了一个NodeJS应用,使用Apache作为保留代理,将端口443(互联网)路由到80(本地)。
nodejs app正由端口80上的PM2运行。
我的问题是,当我使用Tenable Nessus扫描漏洞时,它会返回currentTarget高警告。 Apache的版本是2.4.6(最新版)。
这是Nessue关于此漏洞的详细输出:
描述
远程主机上运行的Apache HTTP Server的版本是 受拒绝服务漏洞影响。制作一系列HTTP Range或Request-Range请求中具有重叠范围的请求 标头可能导致内存和CPU耗尽。一个遥控器, 未经身份验证的攻击者可以利用它来制作系统 不响应。
漏洞利用代码已公开发布,据报道已发生攻击 在野外观察。
解决方案
升级到Apache httpd 2.2.21或更高版本。或者,申请其中一个 Apache的CVE-2011-3192建议中的变通方法。版 2.2.20修正了这个问题,但它也引入了回归。
如果主机正在运行基于Apache httpd的Web服务器,请联系 供应商修复。
另见
http://seclists.org/fulldisclosure/2011/Aug/175 http://www.gossamer-threads.com/lists/apache/dev/401638 http://www.nessus.org/u?404627ec http://httpd.apache.org/security/CVE-2011-3192.txt http://www.nessus.org/u?1538124a http://www-01.ibm.com/support/docview.wss?uid=swg24030863
输出
Apache HTTP Server Byte Range DoS