2018年12月03日

「お前ンとこのサーバは脆弱性あるから対処しねーと2週間後にポート閉じるからなゴラァ」というメールが先週飛んできた．これはヤバイと思って諸々チェックしたのだけど，結局のところ存在しない脆弱性を指摘されてたというオチなのでどう対処すればいいんだか悩ましい．

とりあえず，上流の使ってるチェッカが apache の返すバージョン番号を見ただけで「脆弱性があるんじゃボケェ！」と出してくれるのが原因．チェッカのレポートに「注）実は脆弱性チェックしてないの．apache の返したバージョン番号を信じてるの．」とか書かれてる．なので，「脆弱性を持っていたバージョン＋セキュリティパッチ」という環境だとパッチで潰されてる脆弱性を指摘するレポートが作成されてしまう．無いものはどうのしようもないので対処できない．

とういことで，「apache がバージョン返さないように設定書けば対処になる？　もしくは問答無用でバージョンを上げるん？」という問合わせのメールを送るという対処をしてみた．

が，週が明けたのに返事がまだない．一応即座に「議論するから待ってて」との返信は来ていたのだけど……　その後応答なし．そんなに悩むことなのか？

閑話休題．

喉と鼻が風邪で死んだ……　痛くてうまく眠れず．