web-dev-qa-db-ja.com

Linuxベンダーが提供するセキュリティアップデートはPCIコンプライアンスに十分ですか?

PCIコンプライアンスを必要とするシステムがいくつかあり、それらのすべてがCentOS 6.4を実行しており、すべてのセキュリティアップデートが毎日適用されています。ただし、PCIコンプライアンススキャンでは、安全でないと判断された外部サービス(Apache、PHP、MySQL)の検出されたバージョンが拒否されることがよくあります。セキュリティの測定値は、ソフトウェアパッケージのバージョン番号です。その情報がスキャナーに報告される場合と、冗長性の低い構成を定義することによってすべてのバージョン情報を外部にオフにする場合。

私が確保している真新しいCentOS 6.4ボックスがあり、最初のPCIスキャンに失敗しました(そこに驚きはありません)。しかし、報告された最初の問題は、「PHP 5.3 <5.3.7複数の脆弱性」と述べています。サーバーには現在PHP 5.3.3があり、CentOSから提供されています。他にも失敗しているパッケージがありますが、この質問ではPHP 。

考慮すべきいくつかのポイント

  • 機能として安定性を主張するLinuxベンダーが上流にリリースされたパッケージのすべての新しいバージョンを急いでリリースするわけではないことは、一般的に理解されている(私は思う)が、Webブラウザー/プラグインは例外です。
  • ベンダーはセキュリティ更新をリリースしますが、すべてのソースリリースに対してではありません。 (例: PHP 5.3.26 は5.3リリースで最新であり、修正することを主張しています CVE-2013-211 。)
  • ベンダーパッケージは、メジャーバージョン番号とマイナーバージョン番号を同じままにすることがありますが、互換性の理由から、パッケージにバックポートされたセキュリティパッチでリリース番号を上げます。したがって、バージョン番号が示唆していない場合でも、セキュリティの問題が修正されている可能性があります。 (PCI:コンプライアンスのオーバーライドを取得するには、時間のかかる手動のドキュメントが必要です。)
  • ソースへの非標準のパッチを含めることができるという理由で、ベンダーパッケージはより安全である可能性があるという議論を以前に見ました。ただし、簡単に確認できる方法で文書化されることはほとんどありません。
  • 独自のパッケージをロールバックして、PHPなどの外部サービスの新しいリリースをすばやく更新します。また、あいまいなバグ修正も提供され、ベンダーはおそらくそれほど心配していません。

PCIコンプライアンスを達成するために、私の経験では、カスタムパッケージのローリングが合格する唯一の方法であることが示されています。 Security Metrics、Trust Wave、およびControl Scanを使用してさまざまな結果を得ました。セキュリティアップデートを含むベンダー提供のパッケージは、上流のリリースに大きく遅れているため十分ではないということですか?

注:私がこの質問をしているのは、「セキュリティの更新を取得するためにyum upgradeを毎日実行する」ことを推奨する多くの「セキュリティアドバイス」を見てきたためですが、PCIスキャナーは一般に、十分な努力が払われていないことに同意しませんインストールされたバージョンのセキュリティ。

5
jimp

PCI DSSには、「インストールされた最新のベンダー提供のセキュリティパッチ」が必要です。( PCI 6.1 pg。38 )これは、PHPがセキュリティパッチをリリースしたら、ディストリビューションのリポジトリにまだない場合でも、パッチを適用する必要があります。

経験則では、製品のバージョン番号と、ベンダー(PHP、Apacheなど)がセキュリティ面でリリースしたものを確認します。スキャナーとディストリビューションリポジトリは役に立ちますが、チェックまたは監査する必要があるものではありません。インストールした内容を把握し、セキュリティ更新プログラムを定期的に確認してください。スキャナーの結果を定期的に再確認して、偽陰性を説明し、調査結果を確認して偽陽性を説明します。

1
schroeder