我正在运行OpenSSH 5.3p1-81.el6_3,根据我的服务器是最新的稳定版本.由于我的OpenSSH版本,我的PCI扫描显示CVE-2010-4478和CVE-2011-0539漏洞存在.
检查“rpm -q –changelog openssh”表明最迟在2012年10月有更新.当然这些已经解决了吗?有更新版本的SSH(6.x我相信),但据我所知,rehat / centos将安全修复程序反向移植到旧的稳定版本,如5.3.
这些是我的版本修复还是不是?如果是,我如何向我的PCI扫描仪显示这一点以证明误报?
谢谢!
是的,您是最新的,并且不容易受到这些特定漏洞的攻击.
要解决此问题,您需要look up each CVE at Red Hat并记下包的状态.在某些情况下,将提供向后移植的修复程序.在其他情况下,由于各种因素(例如,供应商的构建中可能不存在易受攻击的功能),程序包将不会受到攻击.
在向后移植修复的情况下,如果您有与咨询中提到的相同或更新的包,那么您没问题.您只需注意您的程序包包含一个向后移植的修复程序,并使用Red Hat中的信息作为已应用此修复程序的证据.
对于供应商列出的不易受攻击的软件包,只需提供给出的信息即可.
在这种特殊情况下,CVE是:
> CVE-2010-4478(不易受攻击)
> CVE-2011-0539(不易受伤害)
