CVE-2014-8109 и CentOS

Я просматриваю длинный список из 100-х вопросов безопасности, которые поставщик услуг проверки безопасности соответствия PCI сообщается на клиентском сервере. Я нашел, изолировал, задокументировал и подал споры для всех ложных срабатываний. Я не уверен, что я должен любить или ненавидеть эту компанию. Они, безусловно, делают свою долю для обеспечения безопасности работы, но я бы предпочел работу, которая немного интереснее.

В любом случае https://access.redhat.com/security/cve/cve-2014-8109 – последний элемент, который я не могу решить. RedHat решил не делать резервную копию исправления RHEL 7, и, следовательно, это отверстие не было подключено.

Я ищу совет по двум вещам

  • Могу ли я сделать что-нибудь, чтобы смягчить это («компенсационный контроль»)? Надеемся, что вам не удалось восстановить httpd?
  • Существует ли фактический технический аргумент в пользу этого поставщика услуг о достоинстве этой проблемы?

Я просто отключил этот модуль, комментируя строку LoadModule в файле 00-lua.conf . Спасибо, @ Стивен Китт