Я только что обновил сервер до последней версии OS X 10.5.7, и мое сканирование на соответствие показывает мне, что эти установленные в ОС компоненты вызывают уязвимости. Я не вижу, где я могу скачать более высокие версии или даже существуют ли они!
Kerberos 5 указан как имеющий «множественные уязвимости», но, насколько я могу судить, для Mac OS X не существует более новой версии.
PHP до версии 5.2.9 также указан как имеющий «множественные уязвимости», и я вижу, что версия 5.2.9 широко используется, но не может нигде ее загрузить. Даже ссылка для скачивания на сайте Apple мертва.
MySQL также указан как уязвимость, и они говорят, что версии до 5.1.9 уязвимы, но только 5.1.35 доступна для загрузки в качестве стабильного выпуска.
Кто-нибудь знает, как ответить на эти, казалось бы, безответные вопросы? У меня всего пара серверов с 40-50 сайтами. Все на Mac OS. Спасибо
Есть риск зависеть от сторонних производителей (Apple или даже MacPorts), которые будут поддерживать ваш программный стек в актуальном состоянии на соответствие требованиям PCI. Узнайте, как компилировать компоненты самостоятельно и устанавливать их за пределами того места, где Apple делает: это защитит вас от плохо написанных обновлений программного обеспечения (таких как недавняя ошибка обновления Apple Perl / CPAN), от повреждения или отмены вашей установки. Отключите Apple Apache и MySQL и включите свои.
Просмотрите сборки на сайтах opensource.apple.com и www.macports.org для получения руководства. Заблокируйте программное обеспечение, которое вы не можете / не должны обновлять (например, Kerberos), используя брандмауэр операционной системы и сетевой брандмауэр.
Рассматривать:
cd /usr/local/src/
tar -xf mysql-5.0.83.tar
cd mysql-5.0.83
./configure --prefix=/usr/local/mysql --enable-local-infile --enable-shared --enable-thread-safe-client --with-extra-charsets=complex
make clean
make && make install
tar -xf httpd-2.2.11.tar
cd httpd-2.2.11
./configure --prefix=/usr/local/apache2 --enable-mods-shared=all
make clean
make && make install
tar -xf php-5.2.10.tar
cd php-5.2.10
./configure --prefix=/usr/local/php-x --enable-dbase --enable-ftp --enable-mbstring --enable-xml --enable-zip --with-apxs2=/usr/local/apache2/bin/apxs
...
/Library/LaunchDaemons/com.your.httpd.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>EnvironmentVariables</key>
<dict>
<key>DYLD_LIBRARY_PATH</key>
<string>/usr/local/apache2/lib</string>
</dict>
<key>Label</key>
<string>com.you.httpd</string>
<key>OnDemand</key>
<false/>
<key>ProgramArguments</key>
<array>
<string>/usr/local/apache2/bin/httpd</string>
<string>-D</string>
<string>FOREGROUND</string>
</array>
</dict>
</plist>
/Library/LaunchDaemons/com.your.mysqld.plist
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>com.your.mysqld</string>
<key>Program</key>
<string>/usr/local/mysql/bin/mysqld_safe</string>
<key>RunAtLoad</key>
<true/>
<key>UserName</key>
<string>_mysql</string>
<key>WorkingDirectory</key>
<string>/usr/local/mysql</string>
</dict>
</plist>
Вы можете скачать PHP 5.2.9 с MacPorts здесь: http://www.macports.org/ports.php?by=name&substr=php (это третья по счету), и вы можете загрузить MySQL 5.1.35 (это 26 минорных версий новее 5.1.9) прямо из MySQL здесь: http://dev.mysql.com/downloads/mysql/5.1.html#macosx-dmg
Я не могу сказать точный номер версии Kerberos 5, включенной в 10.5.7, но последняя версия прямо из MIT - 1.7. Вам придется скомпилировать из исходного кода, и я не знаю, что он будет делать со встроенной версией от Apple, поэтому обязательно попробуйте что-либо из вышеперечисленного на лабораторном / тестовом сервере, прежде чем обновлять свой производственный бокс.