Ich betreibe ein Linux-AMI auf AWS mit Version 1.0.1k von OpenSSL
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
Für die PCI-Konformität ist eine Version höher als 1.0.1p erforderlich, da es angeblich bekannte Sicherheitsprobleme mit älteren Versionen gibt. Wenn ich versuche, das OpenSSL-Paket auf dem Computer mit „yum“ zu aktualisieren, wird mir angezeigt, dass OpenSSL auf dem neuesten Stand ist.
$ sudo yum update openssl
No packages marked for update
Hat jemand anderes ein ähnliches Problem? Ist es möglich, das neueste OpenSSL auf dem Linux AMI zu installieren? Ist das Linux AMI nicht PCI-kompatibel?
Als Hintergrund verwende ich Amazon Linux AMI Release 2015.09
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
Antwort1
Der Grund, warum die Scans fehlschlagen, liegt wahrscheinlich darin, dass die Serversignatur in der Header-Antwort „openssl/1.0.1k“ enthält. Nur so kann der Scanner wissen, welche Version von OpenSSL ausgeführt wird.
Wenn Sie möchten, dass die Scans erfolgreich sind, können Sie einfach versuchen, die ServerSignature auf Ihrem Webserver zu deaktivieren. Dadurch wird „openssl/1.01k“ aus den HTTP-Antwortheadern entfernt und der Scan erkennt die alte Versionsnummer nicht mehr.
Da wir wissen, dass Amazon alle CVE-Fixes wie angegeben zurückportiert, ist dies völlig sicher.