PCIコンプライアンスを必要とするシステムがいくつかあり、それらのすべてがCentOS 6.4を実行しており、すべてのセキュリティアップデートが毎日適用されています。ただし、PCIコンプライアンススキャンでは、安全でないと判断された外部サービス(Apache、PHP、MySQL)の検出されたバージョンが拒否されることがよくあります。セキュリティの測定値は、ソフトウェアパッケージのバージョン番号です。その情報がスキャナーに報告される場合と、冗長性の低い構成を定義することによってすべてのバージョン情報を外部にオフにする場合。
私が確保している真新しいCentOS 6.4ボックスがあり、最初のPCIスキャンに失敗しました(そこに驚きはありません)。しかし、報告された最初の問題は、「PHP 5.3 <5.3.7複数の脆弱性」と述べています。サーバーには現在PHP 5.3.3があり、CentOSから提供されています。他にも失敗しているパッケージがありますが、この質問ではPHP 。
考慮すべきいくつかのポイント
PCIコンプライアンスを達成するために、私の経験では、カスタムパッケージのローリングが合格する唯一の方法であることが示されています。 Security Metrics、Trust Wave、およびControl Scanを使用してさまざまな結果を得ました。セキュリティアップデートを含むベンダー提供のパッケージは、上流のリリースに大きく遅れているため十分ではないということですか?
注:私がこの質問をしているのは、「セキュリティの更新を取得するためにyum upgrade
を毎日実行する」ことを推奨する多くの「セキュリティアドバイス」を見てきたためですが、PCIスキャナーは一般に、十分な努力が払われていないことに同意しませんインストールされたバージョンのセキュリティ。
PCI DSSには、「インストールされた最新のベンダー提供のセキュリティパッチ」が必要です。( PCI 6.1 pg。38 )これは、PHPがセキュリティパッチをリリースしたら、ディストリビューションのリポジトリにまだない場合でも、パッチを適用する必要があります。
経験則では、製品のバージョン番号と、ベンダー(PHP、Apacheなど)がセキュリティ面でリリースしたものを確認します。スキャナーとディストリビューションリポジトリは役に立ちますが、チェックまたは監査する必要があるものではありません。インストールした内容を把握し、セキュリティ更新プログラムを定期的に確認してください。スキャナーの結果を定期的に再確認して、偽陰性を説明し、調査結果を確認して偽陽性を説明します。