Вопрос: RHEL 6.3 Обновление OpenSSH и Apache


Мы просто выполнили внешнюю проверку безопасности с 403Labs против одного из наших серверов (RHEL 6.3 x86_64) для соответствия PCI, и результаты, по-видимому, в основном диктуют, что у нас была полная версия приложений, которые необходимо было обновить для прохождения сканирования.

Это, как было сказано, проблема, с которой я сталкиваюсь, заключается в том, что менеджер пакетов (yum) и использование ремиго-репо не имеют версий, которые мне нужны для Apache и OpenSSH. Я уже выполнил следующее:

yum update
yum --enablerepo=remi,remi-test install httpd mysql mysql-server php php-common

Это позволило решить наши критически важные и высокорисковые результаты, но результаты среднего уровня все еще говорят о необходимости дальнейшего обновления следующих пакетов.

Необходимые обновления:

   Current            Required
Apache 2.2.15 to >= Apache 2.2.23
OpenSSH 5.3   to >= 5.7

Итак, поскольку диспетчер пакетов не может позволить мне обновиться до этих версий, как я должен это делать? В настоящее время я предполагаю, что мне нужно будет установить из источника. Если есть лучшая альтернатива, укажите это.

Кроме того, если у меня нет выбора, кроме как установить из источника, может кто-то помочь мне определить, какие будут исходные пакеты, чтобы я знал, что устанавливаю правильные версии для своей ОС?

Большое спасибо за любую помощь.


4
2018-01-30 17:10


Источник




Ответы:


Не делай этого!

Перед тем, как выйти за пределы структуры поддержки поставщика ОС, вы должны убедиться, что это правильно.

В некоторых тестах соответствия PCI сообщается о том, что приложение имеет уязвимости, поскольку его номер версии слишком низок. Это не учитывает Бэкпорт безопасности и исправлений ошибок, которые используют многие поставщики.

Например (из старого сканирования Nessus) он заявляет, что Apache, предоставленный CentOS, уязвим, если версия <2.2.14. Если вы вникнете в детали о том, какие уязвимости вы тогда обнаружите CVE-2009-3095, CVE-2009-3094 и т.п.

Взглянув на них, вы обнаружите, что они исправлены в текущих версиях Apache поставляет RH и, следовательно, CentOS.


8
2018-01-30 17:30



Спасибо, лай. Итак, если 403Labs сообщает нам, что наш сайт не совместим с PCI на основе этого точного сценария, и я применил все обновления с помощью обновления yum, а затем какие действия я должен предпринять, чтобы сообщить моему руководству, что мы на самом деле в порядке? Я не очень разбираюсь в таких вещах, поэтому я хочу убедиться, что его проблемы были рассмотрены соответственно? - Skittles
Скажите им перекрестно ссылаться на эксплойт / ошибку база данных уязвимостей чтобы увидеть, поддерживает ли RHEL изменения. - ewwhite
@Skittles: Yuu нужен подробный список уязвимостей, которые вы можете перекрестно ссылаться на исправления. - Iain
@lain. У меня есть подробный список в виде отчета сканирования из 403Labs. - Skittles
@ewwhite - я постараюсь посмотреть, сможем ли мы это сделать. Спасибо. - Skittles


Отталкивать...

Red Hat Enterprise Linux не работает. Установка из источника для соответствия требованиям аудита открывает вам дополнительные проблемы с безопасностью и дополнительные накладные расходы на управление.

Подход Red Hat для своих корпоративных операционных систем - это создание постоянной цели на протяжении всего жизненного цикла ОС. Большие корпорации и корпоративные приложения должны гарантировать совместимость с двоичными файлами на протяжении 7 лет, для которых поддерживаются эти операционные системы. Red Hat не изменит младшие номера версии пакета, но вместо этого сохранит изменения и исправления безопасности из более новых версий в более старый пакет.

Например, вы никогда не увидите Apache 2.2.23 в RHEL 5, но вы увидите соответствующие патчи безопасности (и некоторые функции), перенесенные из более новых версий Apache в 2.2.3.

Когда я занимаюсь аудиторами или людьми, ориентированными на безопасность, я настаиваю на том, чтобы они читали журнал изменений, чтобы узнать, покрываются ли их конкретные проблемы существующими исправлениями безопасности или исправлениями ...

Вот Подпись EL Apache,

Перекрестная ссылка CVE- * числа против CERT / Национальная база данных уязвимостей, Например, CVE-2011-3368 перечисляет уязвимость, которая влияет на версии Apache до 2.2.21. Очевидно, что RHEL имеет только 2.2.3 в качестве основной версии, поэтому исправление безопасности было разработано, протестировано и перенесено на старую версию.


12
2018-01-30 17:25





Я столкнулся с этим и с выполнением PCI-совместимости, хотя я знал об обратной стороне исправлений, упомянутых выше. Нашим решением с apache было установить ServerTokens на «Prod» и ServerSignature на «Off» в /etc/httpd/conf/httpd.conf. Этот мудрый параметр сообщает apache не сообщать номера своих версий и выплевывать все модули, которые он использует. Затем мы прошли проверку.

Что касается SSH, идеальная настройка - это доступ к брандмауэру, так что только ваш офис может подключиться к порту. Таким образом, сканирование не поднимет его.

Если это невозможно, аудиторы PCI могут убедить вас в безопасности, если вы докажете, что вы исправлены (обычно с помощью какой-либо утилиты для совместного использования экрана вы показываете, что «обновление yum» не показывает никаких доступных обновлений), и у вас есть процедура для регулярных тестов , Я просто показал, что я подписался на список рассылки RedHat, и мы немедленно планируем обновление, если компонент, который мы используем, уязвим.

Не допуская этого, вы должны быть в состоянии подать апелляцию и получить надлежащий тест на проникновение.


6
2018-01-30 20:10



Это очень хороший ответ, и я только что внедрил те изменения, которые вы отметили, и запустит другое сканирование, чтобы убедиться, что это позаботится о оставшихся рисках среднего уровня, которые у нас были. Всего 15, и я нахожусь в процессе запроса об освобождении от многих из них. - Skittles
Потрясающие. Дайте мне знать, как это происходит. - chylarides