Ho diversi sistemi che richiedono la conformità PCI, tutti eseguono CentOS 6.4 con tutti gli aggiornamenti di sicurezza applicati quotidianamente. Tuttavia, la scansione della conformità PCI rifiuterà spesso le versioni rilevate di servizi esterni (Apache, PHP, MySQL) che ritiene insicuri. La misurazione della sicurezza è semplicemente il numero di versione del pacchetto software - se tali informazioni vengono riportate allo scanner e non tutte le informazioni sulla versione vengono disattivate all'esterno del mondo definendo una configurazione meno dettagliata.
Ho un nuovissimo box CentOS 6.4 che sto proteggendo e che non ha funzionato con la scansione PCI iniziale (non c'è da stupirsi). Ma il primo problema riportato dice: "PHP 5.3 < 5.3.7 Vulnerabilità multiple." Il server ha attualmente PHP 5.3.3, come fornito da CentOS. Ci sono anche altri pacchetti in errore, ma mi concentrerò su PHP per questa domanda.
Alcuni punti da considerare
- È generalmente inteso (penso) che i venditori di Linux che rivendicano la stabilità come caratteristica non affrettano ogni nuova versione di un pacchetto rilasciato a monte, con un'eccezione a volte per browser / plug-in web.
- I venditori rilasciano aggiornamenti di sicurezza, ma non per ogni versione sorgente. (Esempio: PHP 5.3.26 è il più recente nelle versioni 5.3 e afferma per correggere CVE-2013-2110 .)
- I pacchetti dei fornitori a volte lasciano il numero di versione major.minor lo stesso, ma eseguono il bump del numero di versione con una patch di sicurezza backported nel loro pacchetto per ragioni di compatibilità. Pertanto, è possibile che un problema di sicurezza sia stato risolto anche se il numero di versione non lo suggerisce. (PCI: richiede una documentazione manuale dispendiosa in termini di tempo per ottenere un override di conformità).
- Ho visto argomenti in passato che i pacchetti dei fornitori possono essere più sicuri, sulla base del fatto che possono includere patch non standard alla fonte. Questo è raramente documentato in un modo che può essere facilmente rivisto, però.
- Facciamo rotolare i nostri pacchetti per ottenere nuove versioni di servizi esterni, come PHP, aggiornati rapidamente. Fornisce anche correzioni di bug oscure, su cui probabilmente i produttori sono meno preoccupati.
Per ottenere la conformità PCI, la mia esperienza dimostra che il rolling dei pacchetti personalizzati è l'unico modo per passare. Abbiamo utilizzato Security Metrics, Trust Wave e Control Scan con vari risultati. Ciò significa che i pacchetti forniti dal fornitore, inclusi i loro aggiornamenti di sicurezza, non sono sufficienti perché sono troppo indietro rispetto alle versioni upstream?
Nota: sto facendo questa domanda perché ho visto un sacco di "consigli di sicurezza" nel tempo che consiglia "Esegui yum upgrade ogni giorno per ottenere gli aggiornamenti di sicurezza", ma uno scanner PCI generalmente non concorda sul fatto che sia stato fatto abbastanza sforzo per la sicurezza delle versioni installate.