完全修補的 CentOS 5.5 的 Trustwave PCI 投訴掃描失敗
我有一個完整修補的 CentOS 5.5 伺服器,它未能通過 Trustwave PCI 合規性掃描。它抱怨的項目是 openssl < 0.9.8.o。
rpm -q openssl 顯示:openssl-0.9.8e-12.el5_5.7
apache 標頭橫幅顯示: 伺服器:Apache/1.3.41 (Unix) PHP/5.2.14 mod_psoft_traffic/0.2 mod_ssl/2.8.31 OpenSSL/0.9.8b mod_macro/1.1.2
(注意:那個 apache 橫幅甚至沒有顯示已安裝的版本)
openssh 和 php 有類似的情況(報告的版本低於 PCI 合規性的最低要求)。
我是否需要從原始碼建構所有這些庫才能將它們安裝到最新版本?或者有沒有辦法告訴 CentOS yum 安裝新版本而不是他們向後移植的更新檔版本?如果可能的話,我寧願不去外面吃,這樣以後的維護就會簡化
所有 PCI 掃描都會根據標頭進行版本檢查,然後它們會抱怨您遇到的三十個左右的問題。他們沒有考慮到安全修復被反向移植到 RHEL 包。只要您執行的是最新的軟體包,就應該沒問題。掃描失敗後你必須做的是打開一張票來競爭結果。然後你必須顯示真正安裝的版本
rpm -q httpd
然後你必須探勘 rpm changlog 以找到他們提到的每個 CVE 實例。
rpm -q --changelog httpd
你在哪裡可以找到這樣的東西:
* Thu Dec 03 2009 Joe Orton <jorton@redhat.com> - 2.2.14-1 - add partial security fix for CVE-2009-3555 (#533125)
最後,您應該連結到 Redhat 網站上的相關連結,以表明它已得到解決,因為 PCI 掃描方面沒有人實際上會查看 RPM。
https://www.redhat.com/security/data/cve/CVE-2009-3555.html
你可能會來回走動幾次,如果你真的更新了,最後你會得到一份乾淨的健康賬單。完成後,請確保將所有支持文件放在您的 wiki 上,因為 PCI 掃描將每季度左右重置一次,並刪除對您提供的資訊的任何提及,您需要再次執行此操作。