Linuxベンダーが提供するセキュリティアップデートはPCIコンプライアンスに十分ですか？

PCIコンプライアンスを必要とするシステムがいくつかあり、それらのすべてがCentOS 6.4を実行しており、すべてのセキュリティアップデートが毎日適用されています。ただし、PCIコンプライアンススキャンでは、安全でないと判断された外部サービス（Apache、PHP、MySQL）の検出されたバージョンが拒否されることがよくあります。セキュリティの測定値は、ソフトウェアパッケージのバージョン番号です。その情報がスキャナーに報告される場合と、冗長性の低い構成を定義することによってすべてのバージョン情報を外部にオフにする場合。

私が確保している真新しいCentOS 6.4ボックスがあり、最初のPCIスキャンに失敗しました（そこに驚きはありません）。しかし、報告された最初の問題は、「PHP 5.3 <5.3.7複数の脆弱性」と述べています。サーバーには現在PHP 5.3.3があり、CentOSから提供されています。他にも失敗しているパッケージがありますが、この質問ではPHP 。

考慮すべきいくつかのポイント

• 機能として安定性を主張するLinuxベンダーが上流にリリースされたパッケージのすべての新しいバージョンを急いでリリースするわけではないことは、一般的に理解されている（私は思う）が、Webブラウザー/プラグインは例外です。
• ベンダーはセキュリティ更新をリリースしますが、すべてのソースリリースに対してではありません。 （例： PHP 5.3.26 は5.3リリースで最新であり、修正することを主張しています CVE-2013-211 。）
• ベンダーパッケージは、メジャーバージョン番号とマイナーバージョン番号を同じままにすることがありますが、互換性の理由から、パッケージにバックポートされたセキュリティパッチでリリース番号を上げます。したがって、バージョン番号が示唆していない場合でも、セキュリティの問題が修正されている可能性があります。 （PCI：コンプライアンスのオーバーライドを取得するには、時間のかかる手動のドキュメントが必要です。）
• ソースへの非標準のパッチを含めることができるという理由で、ベンダーパッケージはより安全である可能性があるという議論を以前に見ました。ただし、簡単に確認できる方法で文書化されることはほとんどありません。
• 独自のパッケージをロールバックして、PHPなどの外部サービスの新しいリリースをすばやく更新します。また、あいまいなバグ修正も提供され、ベンダーはおそらくそれほど心配していません。

PCIコンプライアンスを達成するために、私の経験では、カスタムパッケージのローリングが合格する唯一の方法であることが示されています。 Security Metrics、Trust Wave、およびControl Scanを使用してさまざまな結果を得ました。セキュリティアップデートを含むベンダー提供のパッケージは、上流のリリースに大きく遅れているため十分ではないということですか？

注：私がこの質問をしているのは、「セキュリティの更新を取得するためにyum upgradeを毎日実行する」ことを推奨する多くの「セキュリティアドバイス」を見てきたためですが、PCIスキャナーは一般に、十分な努力が払われていないことに同意しませんインストールされたバージョンのセキュリティ。