CentOS Apache配置中的安全漏洞有哪些

CentOS上Apache常见安全漏洞与风险点

一 版本与组件相关的高危漏洞

• 路径穿越与RCE（CVE-2021-41773、CVE-2021-42013）：影响 Apache HTTP Server 2.4.49/2.4.50。当开启 mod_cgi 且目录配置为 Require all granted 时，攻击者可通过构造路径穿越读取敏感文件，甚至执行命令。修复：升级至不含该缺陷的版本，或临时禁用 CGI、严格限制访问路径与权限。
• 换行解析漏洞（CVE-2017-15715）：在部分配置下，文件名末尾包含 0x0A（换行） 时，Apache 可能错误解析其后缀，导致恶意文件被当作脚本执行。常见于上传黑名单可被绕过场景。修复：升级版本，或在上传处理中规范化文件名并拒绝包含控制字符的名称。
• 多后缀解析问题（配置相关）：若使用 AddHandler application/x-httpd-php .php 等规则，Apache 会按从左到右解析多个后缀，遇到无法识别的后缀继续向左，最终只要包含 .php 即按 PHP 解析。攻击者可上传如 shell.php.jpg 绕过白名单。修复：避免全局 AddHandler，改为在目标目录显式限定 SetHandler；对上传目录禁用脚本执行；校验并清理后缀与 MIME。
• 目录遍历/信息泄露（CVE-2016-2161）：早期版本存在路径处理缺陷，可能被用于目录遍历与信息泄露。修复：升级至包含修复的版本（如 2.4.57 及以上），并配合访问控制与最小权限策略。

二 配置不当导致的常见安全问题

• 目录浏览（Directory Listing）：当目录无默认首页且启用 Options Indexes 时，攻击者可一览目录结构，快速定位敏感文件。修复：在相应 中将 Indexes 移除或禁用，仅保留必要选项（如 FollowSymLinks 按需）。
• 上传目录可执行与脚本映射：上传目录若允许脚本执行或被映射为脚本处理器（如 .php），极易导致 Webshell。修复：对上传目录设置 Options -ExecCGI -Indexes，禁止脚本执行；必要时将上传与业务代码物理隔离。
• HTTP方法未限制：未禁用 PUT/DELETE/TRACE 等方法，可能被滥用上传或探测。修复：在 中显式拒绝不必要方法；TRACE 建议全局禁用。
• 版本与Banner泄露：默认配置可能暴露 ServerTokens/ServerSignature，为攻击者提供版本指纹。修复：设置 ServerTokens Prod、ServerSignature Off，减少信息泄露面。

三 传输层与加密配置风险

• SSL/TLS 弱加密与协议问题：启用 SSLv3/TLS1.0/1.1、弱密码套件（如 RC4、MD5）易受 POODLE（CVE-2014-3566）、RC4 相关（CVE-2015-2808） 等攻击。修复：在 ssl.conf 中使用强套件，例如：SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4，并禁用不安全协议与压缩侧信道风险（如 CRIME）。
• TLS 重协商漏洞（CVE-2011-1473）：早期实现存在重协商缺陷。修复：在支持的模块/版本上禁用不安全的重协商，或升级至已修复的版本并启用安全重协商。

四 快速自查与修复要点

• 版本与补丁：执行 httpd -v 确认版本；如为 2.4.49/2.4.50 或存在上述高危 CVE，优先升级系统仓库或可信渠道的最新 httpd 包；无法立即升级时，临时关闭 mod_cgi、限制访问路径并启用 WAF 规则拦截可疑请求。
• 关键配置核查清单：全局与虚拟主机中检查并整改——禁用 Indexes、对上传目录禁用脚本执行、限制 HTTP 方法、隐藏 ServerTokens/Signature、为 CGI/代理与上传目录设置最小权限与访问控制、分离静态资源与业务/上传目录。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！