Joh*_*n P 4 ssh centos openssl pci-dss
我有一个完全打补丁的 CentOS 5.5 服务器,它没有通过 Trustwave PCI 合规性扫描。它抱怨的项目是 openssl < 0.9.8.o。
rpm -q openssl 显示:openssl-0.9.8e-12.el5_5.7
apache 标头横幅显示:服务器:Apache/1.3.41 (Unix) PHP/5.2.14 mod_psoft_traffic/0.2 mod_ssl/2.8.31 OpenSSL/0.9.8b mod_macro/1.1.2
(注意:那个 apache 横幅甚至没有显示已安装的版本)
openssh 和 php 有类似的情况(报告的版本低于 PCI 合规性的最小值)。
我是否需要从源代码构建所有这些库才能使它们使用最新版本?或者有没有办法告诉 CentOS yum 安装新版本而不是他们向后移植的补丁版本?如果可能的话,我宁愿不去 yum 之外,这样以后的维护将得到简化
所有 PCI 扫描都会根据标头进行版本检查,然后他们会抱怨您遇到的大约 30 个问题。他们没有考虑到安全修复程序被反向移植到 RHEL 包。只要您运行的是最新的软件包,就应该没问题。扫描失败后您必须做的是打开一张票来质疑结果。然后你必须显示真正安装的版本
rpm -q httpd
然后你必须通过 rpm changlog 挖掘他们提到的每个 CVE 实例。
rpm -q --changelog httpd
你在哪里可以找到这样的事情:
* Thu Dec 03 2009 Joe Orton <jorton@redhat.com> - 2.2.14-1
- add partial security fix for CVE-2009-3555 (#533125)
最后,您应该链接到 Redhat 站点上的相关链接以表明它已被解决,因为 PCI 扫描方面的人实际上不会查看 RPM。
https://www.redhat.com/security/data/cve/CVE-2009-3555.html
您可能会来回几次,然后如果您真的更新了,那么最终您将获得一份干净的健康清单。完成后,请确保将所有支持文档放在您的 wiki 上,因为 PCI 扫描将每季度左右重置一次,并删除对您提供的信息的任何提及,您将需要再次执行此操作。