Назад | Перейти на главную страницу

Соответствие PCI: установить Apache 2.4.17 на Ubuntu 14.04.3?

У меня есть VPS под управлением Ubuntu 14.04.3. Последней поддерживаемой Ubuntu версией Apache для этого выпуска является Apache 2.4.7.

Но компания, для которой я настроил сервер, стремится к соответствию PCI, и ей было отказано из-за уязвимостей безопасности, исправленных в Apache 2.4.14.

Последний стабильный выпуск Apache на данный момент - 2.4.17.

Было бы целесообразно / целесообразно для меня установить Apache 2.4.17 на сервер - могу ли я сделать это, используя apt-get с другим репозиторием пакетов, или мне нужно будет собрать из исходников?

С точки зрения безопасности вы вообще не хотите запускать Apache httpd 2.4.14 или даже 2.4.17, вы просто не хотите быть уязвимыми для каких-либо известных уязвимостей безопасности Apache (или других).

В общем, вы уже достигли этого, регулярно применяя обновления безопасности для поддерживаемой версии Ubuntu LTS.


Сканирование безопасности, вероятно, обнаружило строку версии Apache 2.4.7, произвело быстрый поиск в базе данных с известными уязвимостями, такими как https://nvd.nist.gov/ и нашел список, похожий на этот, на cvedetails.com и обнаружил, что CVE-2015-3185 это самая последняя уязвимость, относящаяся к вашей версии Apache.

Затем следует невежественный вывод: быть "безопасный и совместимый" нужно слепо следовать этому CVE и обновиться до Apache httpd 2.4.14 или новее.

Это не принимает во внимание обычную практику в дистрибутивах Linux "Enterprise", чтобы "backport" обновления безопасности. Причины резервного копирования и процесс довольно хорошо описаны на RedHat.com но аналогично для Ubuntu. (Пожалуйста, прочтите эту статью целиком.) Суть в том, что старый номер версии вовсе не означает небезопасность.

CVE-2015-3185 был признан Ubuntu как USN-2686-1 и был адресован.

Если вы еще этого не сделали, просто установите обычные обновления безопасности, и, несмотря на то, что вы остаетесь на Apache версии 2.4.7, вы не уязвимы ни для CVE-2015-3185, ни для каких-либо предыдущих CVE.


Я не очень хорошо знаком с процессом сертификации соответствия PCI, поэтому как перевести вышесказанное на получение сертификата ...

Что может помочь этот ответ (и даже все эти вопросы и ответы интересны, несмотря на то, что они сосредоточены на RHEL): используйте следующие директивы Apache и установите ServerTokens к Prod и установите ServerSignature к Off в вашем httpd.conf.

Могу я предложить вам нанять консультанта по PCI. Это действительно важный и сложный процесс сертификации. Чтобы сделать это у одного из моих клиентов, мы говорили о 100 тысячах долларов для инфраструктуры среднего размера. Также вам нужно смотреть на отличную картинку. Если ваш сервер Apache должен быть совместим с PCI, так как ваша ОС, ваша БАЗА ДАННЫХ, ваша сетевая инфраструктура (IPS / IDS), WAF, FireWall и т. Д.

Я не знаю, какая у вас настройка и какая у вас настройка клиента. Но для этого нужен серьезный анализ ... Настолько, что даже некоторые крупные компании отдают это сторонним службам, которые являются экспертами в предоставлении таких услуг.

Кроме того, вы также хотели бы получить серьезную страховку, если что-то не так (если вы консультант), и это вернется к вам ... Будьте готовы ко времени ошибок (дерьмо ударит по поклоннику) ...

Только мои 2 цента. Я знаю, что с технической точки зрения это не поможет вам, но я думаю, что это справедливый вклад для вас, поскольку вы должны вкладывать в это энергию или нет ...

В этом, удачи.