我在 AWS 上使用 openssl 版本 1.0.1k 運行 Linux AMI
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
PCI 合規性要求版本高於 1.0.1p,因為他們聲稱舊版本有已知的安全性問題。當我嘗試使用“yum”更新電腦上的 openssl 軟體包時,我被告知 openssl 是最新的。
$ sudo yum update openssl
No packages marked for update
有其他人有類似的問題嗎?是否可以在 Linux AMI 上安裝最新的 openssl? Linux AMI 是否不符合 PCI 標準?
作為背景,我使用 Amazon Linux AMI 版本 2015.09
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
答案1
掃描失敗的原因可能是因為伺服器簽章在「Server」標頭回應中包含「openssl/1.0.1k」。這是掃描器了解正在運行的 openssl 版本的唯一方法。
如果您希望掃描通過,您可以嘗試簡單地關閉 Web 伺服器中的 ServerSignature。這將從 http 回應標頭中刪除“openssl/1.01k”,並且掃描將不再擷取舊版本號。
由於我們知道 Amazon 會向後移植所有 CVE 修復(如前所述),因此這樣做是完全安全的。