RHEL 6.3 升級 OpenSSH 和 Apache

我們剛剛從 403Labs 對我們的一台伺服器（RHEL 6.3 x86_64）進行了外部安全掃描，以確保符合 PCI 標準，結果似乎主要表明我們有一堆需要升級才能通過掃描的應用程序。

話雖如此，我遇到的問題是包管理器（yum）和remi repo的使用沒有我需要的Apache和OpenSSH版本。我已經執行了以下操作：

yum update
yum --enablerepo=remi,remi-test install httpd mysql mysql-server php php-common

這解決了我們的關鍵和高風險結果，但中級結果仍然表明我們需要進一步升級以下軟體包。

我們需要的升級是：

  Current            Required
Apache 2.2.15 to >= Apache 2.2.23
OpenSSH 5.3   to >= 5.7

那麼，由於包管理器無法讓我升級到這些版本，我該怎麼做呢？我目前的前提是我需要從原始碼安裝。如果有更好的選擇，請指出。

另外，如果我別無選擇，只能從原始碼安裝，有人可以幫我確定正確的源包是什麼，以便我知道我正在為我的作業系統安裝正確的版本嗎？

非常感謝您的幫助。

不要那樣做！

在您跳出作業系統供應商的支持結構之前，您應該確認這是正確的做法。

一些 PCI 合規性測試會報告應用程序存在漏洞，因為它報告的版本號太低。這沒有考慮許多供應商採用的安全性和錯誤修復的反向移植。

例如（來自舊的 Nessus 掃描）它聲明如果版本小於 2.2.14，CentOS 提供的 Apache 是易受攻擊的。如果您深入了解漏洞的詳細資訊，您會發現CVE-2009-3095、CVE-2009-3094等。

查找它們，您會發現它們已在目前版本的 Apache 供應商購買 RH 和 CentOS 中得到修復。

引用自：https://serverfault.com/questions/473891