完全修补的CentOS 5.5的Trustwave PCI合规性扫描失败

Modified on: Sun, 10 Nov 2019 02:00:02 +0800

我有一个完全修补的CentOS 5.5服务器,它没有通过Trustwave PCI合规性扫描。它抱怨的项目是openssl< 0.9.8.o.
rpm -q openssl显示:
OpenSSL的-0.9.8e-12.el5_5.7

apache标题横幅显示:
服务器:Apache / 1.3.41(Unix)PHP / 5.2.14 mod_psoft_traffic / 0.2 mod_ssl / 2.8.31 OpenSSL / 0.9.8b mod_macro / 1.1.2

(注意:apache banner甚至没有显示已安装的版本)

openssh和php有类似的情况(报告版本低于PCI合规性的最低值)。

我是否需要从源代码构建所有这些库以获取最新版本?或者有没有办法告诉CentOS yum安装新版本而不是他们的后端移植补丁版本?如果可能的话,我宁愿不去外面,所以未来的维护将会简化

作者:John P

最佳答案

所有PCI扫描都根据标题进行版本检查,然后他们会抱怨您遇到的大约三十个问题。他们没有考虑到的是安全修复程序被反向移植到RHEL包。只要你运行最新的套餐,你应该没问题。扫描失败后您需要做的就是打开一张竞争结果的门票。然后你必须显示真正安装的版本

rpm -q httpd

然后你必须通过rpm changlog来查找他们提到的每个CVE实例。

rpm -q --changelog httpd

你在哪里找到这样的东西:

 * Thu Dec 03 2009 Joe Orton <jorton@redhat.com> - 2.2.14-1
 - add partial security fix for CVE-2009-3555 (#533125)

最后,您应该链接到Redhat网站上的相关链接,以显示它已被解决,因为PCI扫描端没有人真正要查看RPM。

https://www.redhat.com/security /data/cve/CVE-2009-3555.html

你可能会来回几次,然后如果你真的得到更新,你最终会获得一份健康的健康状况。一旦完成,请确保将所有支持文档放在您的wiki上,因为PCI扫描将在每个季度左右重置并删除您提供的任何信息,您需要再次执行此操作。

作者:kashani

相关问答

添加新评论