Версия OpenSSL от Linux AMI — 1.0.1k, но для соответствия PCI требуется версия 1.0.1p

Версия OpenSSL от Linux AMI — 1.0.1k, но для соответствия PCI требуется версия 1.0.1p

Я запускаю Linux AMI на AWS с версией 1.0.1k openssl

$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015

Соответствие PCI требует версии выше 1.0.1p, поскольку они утверждают, что существуют известные проблемы безопасности в более старых версиях. Когда я пытаюсь обновить пакет openssl на машине с помощью 'yum', мне говорят, что openssl обновлен.

$ sudo yum update openssl
No packages marked for update 

У кого-нибудь еще есть похожая проблема? Возможно ли установить последнюю версию openssl на Linux AMI? Linux AMI не может быть совместимым с PCI?

Для справки: я использую Amazon Linux AMI версии 2015.09

$ cat /etc/*-release
Amazon Linux AMI release 2015.09

решение1

Причина, по которой сканирование не удается, скорее всего, в том, что в заголовке ответа "Server" подпись сервера содержит "openssl/1.0.1k". Это единственный способ, которым сканер может узнать что-либо о том, какая версия openssl запущена.

Если вы хотите, чтобы сканирование прошло успешно, вы можете попробовать просто отключить ServerSignature на вашем веб-сервере. Это удалит "openssl/1.01k" из заголовков ответа http, и сканирование больше не будет определять старый номер версии.

Поскольку мы знаем, что Amazon выполняет обратный порт всех исправлений CVE, как уже отмечалось, это совершенно безопасно.

Связанный контент