PCIコンプライアンス：Ubuntu14.04.3にApache2.4.17をインストールしますか？

セキュリティの観点から、Apache httpd 2.4.14または2.4.17を実行したくない場合は、既知のApache（またはその他の）セキュリティの脆弱性に対して脆弱になりたくないだけです。

一般に、サポートされているUbuntu LTSリリースにセキュリティ更新プログラムを定期的に適用することで、すでにそれを達成しています。

セキュリティスキャンはおそらくApacheバージョン文字列2.4.7を検出し、 https://nvd.nist.gov/ などの既知の脆弱性を持つデータベースをすばやく検索し、これに類似したリストを見つけました cvedetails.com で、 CVE-2015-3185 がApacheバージョンに適用される最新の脆弱性であることがわかりました。

次に、無知な結論が出ます。「安全で準拠」になるには、そのCVEに盲目的に従う必要があり、Apache httpd2.4.14以降のリリースにアップグレードする必要があります。

これは、「バックポート」セキュリティ更新プログラムへの「エンタープライズ」Linuxディストリビューションの一般的な慣行を考慮していません。 -）。バックポートとプロセスの理由は RedHat.com でかなりよく説明されていますが、Ubuntuでも同様です。 （その記事全体を読んでください。）要するに、古いバージョン番号はまったく安全ではないということです。

CVE-2015-3185 Ubuntuによって SN-2686-1 として認識され、対処されました。

まだインストールしていない場合は、通常のセキュリティ更新プログラムをインストールするだけで、Apacheバージョン2.4.7のままですが、CVE-2015-3185や以前のCVEのいずれに対しても脆弱ではありません。

私はPCIコンプライアンス認定プロセスに精通していないので、上記を認定を受けるためにどのように変換するか...

役立つかもしれないのは この回答 （そしてRHELに焦点を当てているにもかかわらずQ＆A全体が興味深い）：次のApacheディレクティブを使用して ServerTokens をProdに設定し、-を設定します ServerSignature httpd.confのOffに。

PCIエクスペリエンスコンサルタントを雇うことをお勧めします。これは非常に重要であり、認証を取得するのは困難です。私のクライアントの1つでそれを行うために、私たちは中規模のインフラストラクチャについて多くの10万ドルの観点から話します。同様に、あなたは素晴らしい絵を見る必要があります。 ApacheサーバーがPCI準拠である必要がある場合、OS、データベース、ネットワークインフラストラクチャ（IPS/IDS）、WAF、ファイアウォールなど...

私はあなたのセットアップとあなたのクライアントのセットアップが何であるかわかりません。しかし、これにはいくつかの真剣な分析が必要です...それだけ、一部の大企業でさえ、そのようなサービスの提供に精通した外部サービスにそれを任せています。

同様に、何か問題があり（コンサルタントの場合）、それがあなたに戻ってきた場合、あなたはいくつかの深刻な保険に加入したいと思うでしょう...バグタイム（たわごとがファンを襲った）の準備をしてください...

ちょうど私の2セント。これは技術的に話すのに役立たないことを私は知っていますが、あなたがそれにエネルギーを入れるべきかどうかに関して、これはあなたへの公正なインプットだと思います...

その上で、頑張ってください。