Вопрос: Как поддерживать соответствие PCI на сервере LAMP, когда репозитории не поддерживают версии


Мы запускаем Ubuntu Lucid 10.0.4 в качестве основы нашей среды LAMP. Мы пытаемся стать совместимыми с PCI, чтобы мы могли передавать информацию CC через наш сервер. Мы запустили некоторые сторонние проверки на наших серверах, чтобы начать процесс сертификации и столкнулись с ошибками в отношении версий PHP 5 и версий Apache. Последняя версия PHP, размещенная в нашем официальном ясном репозитории, примерно на 10 версий ниже, чем требуется PCI.

Как мы обновляемся, чтобы оставаться в курсе требований PCI-требований?

Нам нужно перейти от php 5.3.2 к php 5.3.15

Как и до apache 2.2.23

Я искал по всему миру ответ и не придумал реалистического ответа. Некоторые рекомендуют компилировать вручную - что звучит как кошмар, а другие рекомендуют PPA - что звучит небезопасно. Что нам делать?


6
2017-10-14 22:47


Источник


Что сказал Майкл Хэмптон. Кроме того, сканирование безопасности дает вам конкретные CVE для проблем безопасности? Если это так, проверьте список изменений Ubuntu для пакетов PHP. Должны быть указания на резервные копии, которые фиксируют эти конкретные проблемы, как правило, ссылаются на CVE, т. Е. Смотрят на launchpad.net/ubuntu/+source/php5/+changelog и вы увидите, что 5.3.2-1ubuntu4.18 исправляет CVE-2012-2688. - cjc
Соответствие PCI - Yuck! законное минное поле. - Matt


Ответы:


Корпоративные дистрибутивы Linux справляются с этим, защищая исправления безопасности от новой версии до исходной версии, на которую заблокирован ваш дистрибутив. Вы устанавливаете обновленные системные пакеты, содержащие исправления для резервного копирования, и обратите внимание на это в своем отчете поставщику соответствия.

Каждый отчет, который вы получаете о потенциальной уязвимости безопасности, должен содержать номер CVE. Посмотрите это число в Уведомления о безопасности Ubuntu (смотрите также Red Hat CVE для RHEL / CentOS) для определения обновлений вашей системы.

В качестве побочного примечания, если вы используете веб-сайт на основе PHP, вы часто хотите Исправлена ​​ошибка обновления в дополнение к исправлениям безопасности. В дистрибутивах почти никогда не распространяются обновления исправлений ошибок, если они не вызывают сбои или проблемы с безопасностью, а иногда даже и не тогда. В этом случае часто разумнее использовать PPA, который отслеживает вашу желаемую версию PHP (например, 5.3 или 5.4) вместо системных пакетов.


12
2017-10-15 00:42



Майкл дал прекрасный ответ. Когда наш аудитор приходит, он хочет убедиться, что мы подписываемся на ошибки для дистрибутива, который у нас есть на производстве. Затем он попросит увидеть электронное письмо и сопоставить версию на сервере с этим электронным письмом, чтобы убедиться, что мы применяем обновления. - Mike
Я просматриваю это ежеквартально для одного из моих клиентов. - Michael Hampton♦