近期天津教育系统多家单位发现网站中间件版本信息泄露安全漏洞，为确保我校网站、信息系统安全稳定运行，现对有关情况和修复措施进行预警通报：

一、中间件版本信息泄露漏洞

通常在 HTTP 报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞。中间件版本信息泄露漏洞的特点：通常出现在默认安装好的 Web 中间件上，大部分管理员都不会修改这个标志。

测试方法：

使用 CURL 发送 OPTIONS 、 GET 、 POST 、 HEAD 等请求，查看响应头中的 Server 行

命令： curl -I -XGET XXXXXXXXXXXXXX

二、修复方案

隐藏版本信息

（ 1 ） Apache

主配置中启用 httpd-default.conf

修改 httpd-default.conf

找到 ServerTokensFull   ServerSignature On

改成 ServerTokensProd   ServerSignature Off

重启 Apache 。

（ 2 ） Nginx

修改 nginx.conf 以及站点配置文件；

http 区段中插入 server_tokensoff;

重启 Nginx 。

（ 3 ） Tomcat

修改之前默认报错页面信息会暴露出版本号。

进入 tomcat 的 lib 目录找到 catalina.jar 文件

unzip catalina.jar 之后会多出两个文件夹

进入 org/apache/catalina/util 编辑配置文件 ServerInfo.properties 修改为：

server.info=ApacheTomcat

server.number=0.0.0.0

server.built=Nov 72016 20:05:27 UTC

将修改后的信息压缩回 jar 包：

cd /tomcat/lib

jar uvf catalina jarorg/apache/catalina/util/ServerInfo.properties

重启 tomcat 。

（ 4 ） PHP

修改 php.ini ；

将默认的 expose_php= On 修改为 expose_php = Off ；

重启 PHP 。

（ 5 ） IIS

安装 MicrosoftUrlscan Filter

修改 C:\Windows\System32\inetsrv\urlscan\UrlScan.ini

修改 RemoveServerHeader=1

重启服务器

请各相关单位、部门高度重视，增强风险意识和防范意识，严格贯彻落实“谁主管，谁负责”的要求，对本单位、本部门所负责的网站（学校自建的网站除外）、信息系统及时联系开发、运维公司查找是否存在上述安全漏洞，及时整改。

若有问题，请联系信息化建设办公室。

联系电话： 88288190

信息化建设办公室

2019 年 4 月 15 日