Я запускаю linux AMI на AWS с версией 1.0.1k openssl
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
Для соответствия PCI требуется версия выше 1.0.1p, поскольку они утверждают, что есть известные проблемы безопасности с более старыми версиями. Когда я пытаюсь обновить пакет openssl на машине с помощью yum, мне говорят, что openssl обновлен.
$ sudo yum update openssl
No packages marked for update
У кого-нибудь еще есть подобная проблема? Можно ли установить последнюю версию openssl на Linux AMI? Является ли Linux AMI несовместимым с PCI?
В качестве фона я использую Amazon Linux AMI версии 2015.09.
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
Причина неудачного сканирования, вероятно, связана с тем, что подпись сервера содержит «openssl / 1.0.1k» в ответе заголовка «Сервер». Это единственный способ узнать, какая версия openssl запущена.
Если вы хотите, чтобы сканирование прошло успешно, вы можете просто отключить ServerSignature на своем веб-сервере. Это удаляет «openssl / 1.01k» из заголовков HTTP-ответов, и сканирование больше не будет определять старый номер версии.
Поскольку мы знаем, что Amazon выполняет резервное копирование всех исправлений CVE, как уже отмечалось, это совершенно безопасно.