我们刚刚从403Labs对我们的一台服务器(RHEL 6.3 x86_64)进行了外部安全扫描,以实现PCI兼容性,结果似乎主要表明我们已经完成了一整套需要升级以通过扫描的应用程序.
话虽如此,我遇到的问题是包管理器(yum)和remi repo的使用没有Apache和OpenSSH所需的版本.我已经执行了以下操作:
yum update yum --enablerepo=remi,remi-test install httpd MysqL MysqL-server PHP PHP-common
这解决了我们的关键和高风险结果,但中等水平的结果仍然表明我们需要进一步升级以下包.
我们需要的升级是:
Current required Apache 2.2.15 to >= Apache 2.2.23 OpenSSH 5.3 to >= 5.7
因此,由于软件包管理器无法让我升级到这些版本,我该怎么做呢?我目前的前提是我需要从源代码安装.如果有更好的选择,请注明.
此外,如果我别无选择,只能从源代码安装,有人可以请帮助我确定正确的源代码包是什么,以便我知道我正在为我的操作系统安装正确的版本?
非常感谢您的帮助.
解决方法
不要那样做!
在您走出操作系统供应商的支持结构之前,您应该验证这是正确的做法.
某些PCI兼容性测试将报告应用程序存在漏洞,因为它报告的版本号太低.这没有考虑许多供应商使用的backporting安全性和错误修复.
例如(来自旧的nessus扫描),它声明如果版本是<2.2.14,则CentOS提供的Apache很容易受到攻击.如果您深入了解漏洞的详细信息,那么您会发现CVE-2009-3095,CVE-2009-3094等.
仔细查看它们发现它们已经修复了当前版本的Apache耗材购买RH以及CentOS.