Let'encrypt a besoin du port 80 pour renouveler le certificat.
Je ne connais pas comment il procède, mais il le lui faut.
Donc je me pose la question est-ce dangereux car le certificat est renouvelé tous les 3 mois, donc laisser le port 80 ouvert en permanence ?
root@<redacted>:~# httpd24 -V
Server version: Apache/2.4.54 (Unix)
Server built: Oct 13 2022 14:56:58
Server's Module Magic Number: 20120211:124
Server loaded: APR 1.5.2, APR-UTIL 1.5.4, PCRE 10.40 2022-04-14
Compiled using: APR 1.5.2, APR-UTIL 1.5.4, PCRE 10.40 2022-04-14
Architecture: 64-bit
Server MPM: worker
threaded: yes (fixed thread count)
forked: yes (variable process count)
Server compiled with....
-D BIG_SECURITY_HOLE
-D SECURITY_HOLE_PASS_AUTHORIZATION
-D APR_HAS_SENDFILE
-D APR_HAS_MMAP
-D APR_HAVE_IPV6 (IPv4-mapped addresses enabled)
-D APR_USE_SYSVSEM_SERIALIZE
-D APR_USE_PTHREAD_SERIALIZE
-D SINGLE_LISTEN_UNSERIALIZED_ACCEPT
-D APR_HAS_OTHER_CHILD
-D AP_HAVE_RELIABLE_PIPED_LOGS
-D DYNAMIC_MODULE_LIMIT=256
-D HTTPD_ROOT="/usr"
-D SUEXEC_BIN="/usr/bin/suexec"
-D DEFAULT_PIDLOG="/run/httpd/httpd.pid"
-D DEFAULT_SCOREBOARD="logs/apache_runtime_status"
-D DEFAULT_ERRORLOG="logs/error_log"
-D AP_TYPES_CONFIG_FILE="local/etc/apache24/conf/mime.types"
-D SERVER_CONFIG_FILE="local/etc/apache24/conf/httpd24.conf"
Apache 2.4.54 est vulnérable https://www.cvedetails.com/vulnerab...oduct_id-66/year-2023/Apache-Http-Server.htmlDangereux non car (et je parle pour Apache 2.4.x avec la configuration détaillée ci-dessous avec DSM 7.1.1-42962 Update 3) il n'y a pas de CVE critiques à ce jour.
Apache 2.4.54 est vulnérable https://www.cvedetails.com/vulnerab...oduct_id-66/year-2023/Apache-Http-Server.html
( je n'ai pas regardé la gravité, pour l'instant elle n'est pas communiqué sur cvedetails )
mod_proxy_ajp
qui n'est pas distribué par Synology).httpd24 -V
(ou httpd22 -V
si Apache 2.2.x est installé)version 2.4.54-0017
Je connais pas spécialement Apache, comment je peut vérifier si la version .54 présente sur QTS présente ce mod ?Seule une est critique mais cela ne touche pas la version d'apache fournie par Synology (cela requiertmod_proxy_ajp
qui n'est pas distribué par Synology).
httpd24 -M
apachectl -M
(si apachectl
est disponible sur le système)apachectl -t -D DUMP_MODULES
/volume1/@appstore/Apache2.4/usr/local/etc/apache24/conf/http24.conf
[~] # /usr/local/apache/bin/apache -v
Server version: Apache/2.4.54 (Unix)
Server built: Jan 12 2023 03:51:45
[~] # /usr/local/apache/bin/apache -M
AH00558: apache: Could not reliably determine the server's fully qualified domain name, using 192.168.100.61. Set the 'ServerName' directive globally to suppress this message
Loaded Modules:
core_module (static)
so_module (static)
http_module (static)
mpm_worker_module (static)
unixd_module (shared)
access_compat_module (shared)
authz_core_module (shared)
filter_module (shared)
mime_module (shared)
setenvif_module (shared)
socache_shmcb_module (shared)
log_config_module (shared)
rewrite_module (shared)
alias_module (shared)
actions_module (shared)
dir_module (shared)
autoindex_module (shared)
http2_module (shared)
deflate_module (shared)
reqtimeout_module (shared)
cgi_module (shared)
version_module (shared)
env_module (shared)
authn_file_module (shared)
authn_core_module (shared)
authz_user_module (shared)
auth_basic_module (shared)
headers_module (shared)
security2_module (shared)
md_module (shared)
ssl_module (shared)
fastcgi_module (shared)
proxy_module (shared)
proxy_wstunnel_module (shared)
Il semblerai donc qu'il ne soit pas concerné non plus.