Я запускаю Linux AMI на AWS с версией 1.0.1k openssl
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
Соответствие PCI требует версии выше 1.0.1p, поскольку они утверждают, что существуют известные проблемы безопасности в более старых версиях. Когда я пытаюсь обновить пакет openssl на машине с помощью 'yum', мне говорят, что openssl обновлен.
$ sudo yum update openssl
No packages marked for update
У кого-нибудь еще есть похожая проблема? Возможно ли установить последнюю версию openssl на Linux AMI? Linux AMI не может быть совместимым с PCI?
Для справки: я использую Amazon Linux AMI версии 2015.09
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
решение1
Причина, по которой сканирование не удается, скорее всего, в том, что в заголовке ответа "Server" подпись сервера содержит "openssl/1.0.1k". Это единственный способ, которым сканер может узнать что-либо о том, какая версия openssl запущена.
Если вы хотите, чтобы сканирование прошло успешно, вы можете попробовать просто отключить ServerSignature на вашем веб-сервере. Это удалит "openssl/1.01k" из заголовков ответа http, и сканирование больше не будет определять старый номер версии.
Поскольку мы знаем, что Amazon выполняет обратный порт всех исправлений CVE, как уже отмечалось, это совершенно безопасно.