私はAWS上でopensslのバージョン1.0.1kを使用してLinux AMIを実行しています
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
PCI コンプライアンスでは、古いバージョンには既知のセキュリティ問題があるとされているため、1.0.1p よりも新しいバージョンが必要です。マシン上で 'yum' を使用して openssl パッケージを更新しようとすると、openssl は最新であると表示されます。
$ sudo yum update openssl
No packages marked for update
他にも同様の問題を抱えている人はいますか? Linux AMI に最新の openssl をインストールすることは可能ですか? Linux AMI は PCI 準拠には対応していないのですか?
背景として、Amazon Linux AMIリリース2015.09を使用しています。
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
答え1
スキャンが失敗する理由は、サーバー署名の「Server」ヘッダー応答に「openssl/1.0.1k」が含まれているためと考えられます。これが、スキャナーが実行中の openssl のバージョンを知る唯一の方法です。
スキャンをパスさせたい場合は、Web サーバーで ServerSignature をオフにしてみてください。これにより、HTTP 応答ヘッダーから「openssl/1.01k」が削除され、スキャンは古いバージョン番号を検出しなくなります。
前述のとおり、Amazon はすべての CVE 修正をバックポートしていることがわかっているので、これを実行してもまったく問題ありません。