近期天津教育系统多家单位发现网站中间件版本信息泄露安全漏洞，为确保我校网站、信息系统安全稳定运行，现对有关情况和修复措施进行预警通报：

一、中间件版本信息泄露漏洞

通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞。中间件版本信息泄露漏洞的特点：通常出现在默认安装好的Web中间件上，大部分管理员都不会修改这个标志。

测试方法：

使用CURL发送OPTIONS、GET、POST、HEAD等请求，查看响应头中的Server行

命令：curl -I -XGET http://XXXXXXXXXXXXXXX

二、修复方案

隐藏版本信息

（1）Apache

主配置中启用httpd-default.conf

修改httpd-default.conf

找到ServerTokensFull   ServerSignature On

改成ServerTokensProd   ServerSignature Off

重启Apache。

（2）Nginx

修改nginx.conf以及站点配置文件；

http区段中插入server_tokensoff;

重启Nginx。

（3）Tomcat

修改之前默认报错页面信息会暴露出版本号。

进入tomcat的lib目录找到catalina.jar文件

unzip catalina.jar之后会多出两个文件夹

进入org/apache/catalina/util编辑配置文件ServerInfo.properties修改为：

server.info=ApacheTomcat

server.number=0.0.0.0

server.built=Nov 72016 20:05:27 UTC

将修改后的信息压缩回jar包：

cd /tomcat/lib

jar uvf catalina jarorg/apache/catalina/util/ServerInfo.properties

重启tomcat。

（4）PHP

修改php.ini；

将默认的expose_php= On修改为expose_php = Off ；

重启PHP。

（5）IIS

安装MicrosoftUrlscan Filter

修改C:\Windows\System32\inetsrv\urlscan\UrlScan.ini

修改RemoveServerHeader=1  

重启服务器

请各相关单位、部门高度重视，增强风险意识和防范意识，严格贯彻落实“谁主管，谁负责”的要求，对本单位、本部门所负责的网站（学校自建的网站除外）、信息系统及时联系开发、运维公司查找是否存在上述安全漏洞，及时整改。

若有问题，请联系信息化建设办公室。

联系电话：88288190

 

 

 

信息化建设办公室

2019年4月15日