Linux

RHEL 6.3 升級 OpenSSH 和 Apache

  • May 28, 2015

我們剛剛從 403Labs 對我們的一台伺服器(RHEL 6.3 x86_64)進行了外部安全掃描,以確保符合 PCI 標準,結果似乎主要表明我們有一堆需要升級才能通過掃描的應用程序。

話雖如此,我遇到的問題是包管理器(yum)和remi repo的使用沒有我需要的Apache和OpenSSH版本。我已經執行了以下操作:

yum update
yum --enablerepo=remi,remi-test install httpd mysql mysql-server php php-common

這解決了我們的關鍵和高風險結果,但中級結果仍然表明我們需要進一步升級以下軟體包。

我們需要的升級是:

  Current            Required
Apache 2.2.15 to >= Apache 2.2.23
OpenSSH 5.3   to >= 5.7

那麼,由於包管理器無法讓我升級到這些版本,我該怎麼做呢?我目前的前提是我需要從原始碼安裝。如果有更好的選擇,請指出。

另外,如果我別無選擇,只能從原始碼安裝,有人可以幫我確定正確的源包是什麼,以便我知道我正在為我的作業系統安裝正確的版本嗎?

非常感謝您的幫助。

不要那樣做!

在您跳出作業系統供應商的支持結構之前,您應該確認這是正確的做法。

一些 PCI 合規性測試會報告應用程序存在漏洞,因為它報告的版本號太低。這沒有考慮許多供應商採用的安全性和錯誤修復的反向移植。

例如(來自舊的 Nessus 掃描)它聲明如果版本小於 2.2.14,CentOS 提供的 Apache 是易受攻擊的。如果您深入了解漏洞的詳細資訊,您會發現CVE-2009-3095CVE-2009-3094等。

查找它們,您會發現它們已在目前版本的 Apache 供應商購買 RH 和 CentOS 中得到修復。

引用自:https://serverfault.com/questions/473891