Der Apache-Webserver gibt in seiner Standardkonfiguration detaillierte Informationen über die eingesetzten Software- und Modulversionen im HTTP Response-Header sowie auf den Fehlerseiten preis, womit man einem Angreifer eventuell die Arbeit erleichtern könnte. Das Vorhandensein dieser Informationen an sich stellt zwar noch kein großes Sicherheitsproblem dar, kann aber darauf hindeuten, dass der Webserver nicht sauber konfiguriert wurde.
Außerdem sind die detaillierten Informationen über die Software- und Modulversionen für den Webseitenbesucher irrelevant. Um diese Informationen auszublenden setzt man folgende Einstellungen in der conf-available/security.conf des Apache-Webservers:
ServerTokens Prod
ServerSignature OffNachdem man die Apache-Konfiguration neu geladen hat erscheint im HTTP Response-Header anstatt der eingesetzen Software- und Modulversionen nur noch der Name des Webservers; auf den Fehlerseiten wird die Signatur überhaupt nicht mehr angezeigt.
