Eu executo uma AMI Linux na AWS com versão 1.0.1k do openssl
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
A conformidade com PCI requer uma versão superior a 1.0.1p porque eles afirmam que há problemas de segurança conhecidos com versões mais antigas. Quando tento atualizar o pacote openssl na máquina usando 'yum', sou informado de que o openssl está atualizado.
$ sudo yum update openssl
No packages marked for update
Alguém mais tem um problema semelhante? É possível instalar o openssl mais recente no Linux AMI? A AMI do Linux não é compatível com PCI?
Como pano de fundo, estou usando o Amazon Linux AMI versão 2015.09
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
Responder1
A razão pela qual as varreduras estão falhando é provavelmente porque a assinatura do servidor tem "openssl/1.0.1k" na resposta do cabeçalho "Servidor". Essa é a única maneira de o scanner saber alguma coisa sobre qual versão do openssl está sendo executada.
Se quiser que as verificações sejam aprovadas, você pode simplesmente tentar desligar o ServerSignature em seu servidor web. Isso remove "openssl/1.01k" dos cabeçalhos de resposta http e a varredura não detectará mais o número da versão antiga.
Como sabemos que a Amazon faz backport de todas as correções de CVE conforme observado, isso é perfeitamente seguro.