Я использую OpenSSH 5.3p1-81.el6_3, который, согласно моему серверу, является последней стабильной версией. Мое сканирование PCI показывает наличие эксплойтов CVE-2010-4478 и CVE-2011-0539 из-за моей версии OpenSSH.
Проверка "rpm -q --changelog openssh" показывает, что до октября 2012 года были обновления. Конечно, они были решены? Существуют более новые версии SSH (я полагаю, 6.x), но насколько я могу судить, исправления безопасности rehat / centos переносятся на старые стабильные версии, такие как 5.3.
Исправлены ли они в моей версии или нет? Если да, как я могу показать это своему сканеру PCI, чтобы подтвердить ложное срабатывание?
Спасибо!
Да, вы в курсе и не уязвимы для этих конкретных уязвимостей.
Чтобы решить эту проблему, вам необходимо искать каждую CVE в Red Hat и отметьте статус пакета. В некоторых случаях будет доступно исправление с обратным переносом. В других случаях пакет не будет уязвимым из-за различных факторов (например, уязвимая функциональность может отсутствовать в сборке поставщика).
В случае исправлений с обратным переносом, если у вас такой же или более новый пакет, как указано в рекомендации, все в порядке. Вы просто отмечаете, что ваш пакет содержит исправление, перенесенное на резервную копию, и используете информацию из Red Hat в качестве доказательства того, что исправление было применено.
Для пакетов, перечисленных поставщиком как неуязвимые, просто предоставьте указанную информацию.
В данном конкретном случае CVE: