Ejecuto una AMI de Linux en AWS con la versión 1.0.1k de openssl
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
El cumplimiento de PCI requiere una versión superior a 1.0.1p porque afirman que existen problemas de seguridad conocidos con versiones anteriores. Cuando intento actualizar el paquete openssl en la máquina usando 'yum', me dicen que openssl está actualizado.
$ sudo yum update openssl
No packages marked for update
¿Alguien más tiene un problema similar? ¿Es posible instalar la última versión de openssl en la AMI de Linux? ¿La AMI de Linux no es compatible con PCI?
En segundo plano, estoy usando la versión 2015.09 de la AMI de Amazon Linux
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
Respuesta1
La razón por la cual los análisis fallan probablemente se debe a que la firma del servidor tiene "openssl/1.0.1k" en la respuesta del encabezado "Servidor". Esa es la única forma en que el escáner sabrá algo sobre qué versión de openssl se está ejecutando.
Si desea que los escaneos pasen, puede intentar simplemente desactivar ServerSignature en su servidor web. Esto elimina "openssl/1.01k" de los encabezados de respuesta http y el escaneo ya no detectará el número de versión anterior.
Como sabemos que Amazon respalda todas las correcciones de CVE, como se indicó, es perfectamente seguro hacerlo.