Verziószám-szivárgás (információszivárgás) sérülékenység javítása, megelőzése

Mi az a verziószám-szivárgás (információszivárgás) sérülékenység?

A verziószám-szivárgás sérülékenység leggyakoribb példája az, amikor a hálózaton elérhető kiszolgálón futó szolgáltatás (webszerver, SSH, FTP, NAS stb.) a kliensnek küldött válaszban elárulja saját típusát, verziószámát, esetenként pedig az operációs rendszer típusát és verziószámát is.

• Portválasztban található ServerBannerben
• HTTP-fejlécben Server paraméterben
• Keretrendszer, tartalomkezelő (CMS) vagy szoftverkomponens kliensoldali HTML‑válaszban
• Hibaoldalon található technikai részletekben

Mi a verziószám-szivárgás (információszivárgás) sérülékenység kockázata?

A verziószám ismeretében egy rosszindulatú támadó célzottan kereshet sérülékenységeket és azokat kihasználó kódokat (exploitokat) az erre specializálódott publikus adatbázisokban, amivel jelentős mértékben megnő a támadás hatékonysága, miközben az elvégzéséhez szükséges időablak leszűkül.

Hogyan javítható és előzhető meg a verziószám-szivárgás (információszivárgás) sérülékenység?

A verziószám…

• megjelenítésének letiltása az érintett szoftver konfigurációjából
• eltávolítása a kliensoldali forráskódból
• felülírása szóközökkel a szoftver binárisában
• kiszűrése a hálózati kommunikációból proxy segítségével

Apache server-banner és verziószám teljes eltávolítása

Az Apache gyári konfigurációjában csupán a verziószám HTTP-fejlécből való eltávolítására van lehetőség, a teljes banner eltávolítására nem. Ehhez a ModSecurity Apache-modulra van szükség.

Az apache2.conf konfigurációs fájl kiegészítése:

Hogyan ellenőrizhető a verziószám-szivárgás sérülékenység jelenléte?

• Sérülékenységvizsgálat szolgáltatás igénylésével
• Automatikus sérülékenységvizsgáló szoftverekkel (pl.: Tenable Nessus, Burp Suite)
• Manuális vizsgálatokkal

Kapcsolódó weboldalak

• Common Weakness Enumeration (CWE-200)
• owasp.org