我有一个完全修补的CentOS 5.5服务器,它使Trustwave PCI兼容性扫描失败.它抱怨的项目是openssl< 0.9.8.o.
rpm -q openssl显示:
的OpenSSL 0.9.8e-12.el5_5.7
rpm -q openssl显示:
的OpenSSL 0.9.8e-12.el5_5.7
apache标题横幅显示:
服务器:Apache / 1.3.41(Unix)PHP / 5.2.14 mod_psoft_traffic / 0.2 mod_ssl / 2.8.31 OpenSSL / 0.9.8b mod_macro / 1.1.2
(注意:apache banner甚至没有显示已安装的版本)
openssh和PHP有类似的情况(报告的版本低于PCI合规的最低值).
我是否需要从源代码构建所有这些库以获取最新版本?或者有没有办法告诉CentOS yum安装新版本而不是他们的后端移植补丁版本?如果可能的话,我宁愿不去外面,所以未来的维护将会简化
所有PCI扫描都根据标题进行版本检查,然后他们会抱怨你遇到的大约三十个问题.他们没有考虑到的是安全修复程序被反向移植到RHEL包.只要你正在运行最新的套餐,你应该没问题.扫描失败后您需要做的就是打开一张竞争结果的票.然后你必须显示真正安装的版本
rpm -q httpd
然后你必须挖掘rpm changlog来找到他们提到的每个CVE实例.
rpm -q --changelog httpd
你在哪里找到这样的东西:
* Thu Dec 03 2009 Joe Orton <jorton@redhat.com> - 2.2.14-1 - add partial security fix for CVE-2009-3555 (#533125)
最后,您应该链接到Redhat网站上的相关链接,以显示它已被解决,因为PCI扫描端的任何人实际上都不会查看RPM.
https://www.redhat.com/security/data/cve/CVE-2009-3555.html
你可能会来回几次,然后如果你实际更新了,你最终会得到一份干净的健康状况.一旦完成,请确保将所有支持文档放在您的wiki上,因为PCI扫描将在每个季度左右重置并删除您提供的任何信息,您需要再次执行此操作.
