use*_*958 3 linux pci-dss apt apache-2.4 ubuntu-14.04
我有一个运行 Ubuntu 14.04.3 的 VPS。此版本的最新 Ubuntu 支持的 Apache 版本是 Apache 2.4.7。
但是我为其配置服务器的公司正在寻求 PCI 合规性,并且由于 Apache 2.4.14 中修补的安全漏洞而被拒绝。
Apache 的最新稳定版本目前是 2.4.17。
在服务器上安装 Apache 2.4.17 对我来说是否明智/可行 - 我可以通过将 apt-get 与另一个包存储库一起使用来完成,还是需要从源代码构建?
从安全角度来看,您根本不想运行 Apache httpd 2.4.14 甚至 2.4.17,您只是不想受到任何已知的 Apache(或其他)安全漏洞的攻击。
通常,您已经通过在受支持的 Ubuntu LTS 版本上定期应用安全更新来实现这一目标。
安全扫描可能检测到您的 Apache 版本字符串 2.4.7,在具有已知漏洞(例如https://nvd.nist.gov/)的数据库中进行了快速查找,并在cvedetails.com上找到了与此类似的列表,并发现CVE-2015-3185只是适用于您的 Apache 版本的最新漏洞。
然后得出了一个无知的结论:要“安全且合规”,必须盲目遵循 CVE,并且必须升级到 Apache httpd 2.4.14 或更新版本。
这没有考虑到“企业”Linux 发行版中“向后移植”安全更新的常见做法。向后移植的原因和过程在RedHat.com上有很好的描述,但与 Ubuntu 相似。(请阅读整篇文章。)简而言之,旧版本号根本不等同于不安全。
CVE-2015-3185已被 Ubuntu 确认为USN-2686-1并已得到解决。
如果您还没有,只需安装普通的安全更新,尽管仍然使用 Apache 2.4.7 版,您不会受到 CVE-2015-3185 或任何以前的 CVE 的攻击。
我对 PCI 合规性认证过程并不十分熟悉,因此如何将上述内容转化为获得认证...
什么可能帮助这个答案(甚至是整个Q&A是尽管是有趣集中在RHEL):使用以下Apache指令并设置ServerTokens到Prod并设置ServerSignature来Off在你的httpd.conf。