2022年5月25日に以下の条件でインストールしたサイトを脆弱性診断する。
・環境: AWS東京リージョン
・OS: AlmaLinux8.6 (AMIからインスタンス作成)
・Webサーバ: Apache httpd 2.4.37(AlmaLinux)
・PHP: php-fpm 7.4.19
・アプリ: Wordpress 6.0
動作確認後にプレ診断実施した結果、以下の脆弱性候補が検出された。
1.The web server has the following HTTP methods enabled: TRACE
CVSS: 5.8(Midium)
Apacheではデフォルトで「HTTP TRACEメソッド」有効なことによる。
2.The remote SSH server supports the following weak KEX algorithm(s):
diffie-hellman-group-exchange-sha1 | Using SHA-1
CVSS: 5.3(Midium)
アルゴリズムの危殆化のため無効となったことによる。
3.The remote SSH server supports the following weak client-to-server encryption algorithm(s):
aes128-cbc/aes256-cbc
CVSS: 4.3(Midium)
アルゴリズムの危殆化のため無効となったことによる。
4.It was detected that the host implements RFC1323/RFC7323.
CVSS: 2.6(Low)
TCPタイムスタンプ自体はデフォルトでON。環境によって無効化が推奨される。
最新のリリースで構成していても、サービス構築後には脆弱性診断の実施が有効である例となっている。
コメントを残す