openssl 버전 1.0.1k를 사용하여 AWS에서 Linux AMI를 실행합니다.
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
PCI 규정을 준수하려면 이전 버전에 알려진 보안 문제가 있다고 주장하므로 1.0.1p보다 큰 버전이 필요합니다. 'yum'을 사용하여 시스템에서 openssl 패키지를 업데이트하려고 하면 openssl이 최신 버전이라는 메시지가 나타납니다.
$ sudo yum update openssl
No packages marked for update
다른 사람도 비슷한 문제가 있습니까? Linux AMI에 최신 openssl을 설치할 수 있습니까? Linux AMI는 PCI를 준수할 수 없습니까?
백그라운드에서는 Amazon Linux AMI 릴리스 2015.09를 사용하고 있습니다.
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
답변1
스캔이 실패하는 이유는 서버 서명의 "Server" 헤더 응답에 "openssl/1.0.1k"가 있기 때문일 수 있습니다. 이것이 스캐너가 실행 중인 openssl 버전에 대해 알 수 있는 유일한 방법입니다.
스캔을 통과하려면 웹 서버에서 ServerSignature를 끄면 됩니다. 이렇게 하면 http 응답 헤더에서 "openssl/1.01k"가 제거되고 스캔이 더 이상 이전 버전 번호에서 선택되지 않습니다.
Amazon이 언급한 대로 모든 CVE 수정 사항을 백포트한다는 것을 알고 있으므로 이는 완전히 안전합니다.