Согласование PCI с пакетом openssh
Я в ситуации, когда мы делаем внутренние проверки PCI, и один сервер, находящийся в области, является Ubuntu Server 16.04.2 LTS. Последним пакетом для openssh-сервера является OpenSSH_7.2p2 с командой ssh -V. PCI жалуется на некоторые новые CVE-ошибки / уязвимости
CVE-2016-10009
CVE-2016-10010
CVE-2016-10011
CVE-2016-10012
Все эти показания отображаются как «необходимые» при просмотре http://people.canonical.com/~ubuntu-security/cve/ [ ! d1]
Поскольку я довольно новичок в соблюдении PCI и сканировании, мне интересно, как мне следует перейти сюда. Я попытался перейти на OpenSSH 7.5 вручную. Хотя команда ssh -V показывает 7.5, сканирование не подбирает это и думает, что я все еще использую 7.2. Я что-то пропустил здесь относительно моего обновления вручную и почему моя программа сканирования все еще думает, что я использую 7.2? И если я не могу обновить его вручную и должен полагаться на резервные копии, выпущенные в будущем, могу ли я аргумент передать внутреннее сканирование на основе этого?
7 ответов
У меня была такая же проблема.
Я решил это, используя wget, чтобы захватить пакеты debian openssh 7.5 отсюда:
https: //packages.debian .org / search? keywords = openssh-client
https://packages.debian.org/search?keywords=openssh-client
Затем, используя dpkg -i, чтобы установить их.
Чтобы дважды проверить версию ssh, открытую внешнему миру, вы можете использовать ssh -v при входе в сервер.
Это показывает подробный вывод и содержит строку, в которой подробно описывается номер версии демона ssh, запущенного на сервере.
, например. debug1: match: OpenSSH_7.5p1 Debian-2 pat OpenSSH* compat 0x04000000
О повторном выполнении моего сканирования PCI, пальцы скрещены!
Все четыре ошибки исправлены в версии пакета версии 17.04.
Вы можете попытаться выполнить резервное копирование версии пакета версии 17.04 в вашу систему 16.04.2.
Вы можете заменить ваша система 16.04.2 с 17.04.
Очевидно, что вы должны сначала протестировать любые изменения в виртуальной машине!
Начиная с 17.04, вы также можете запросить SRU исправлений 16,04. Они могут это сделать - важно соблюдение PCI.
У меня была такая же проблема.
Я решил это, используя wget, чтобы захватить пакеты debian openssh 7.5 отсюда:
https: //packages.debian .org / search? keywords = openssh-client
https://packages.debian.org/search?keywords=openssh-client
Затем, используя dpkg -i, чтобы установить их.
Чтобы дважды проверить версию ssh, открытую внешнему миру, вы можете использовать ssh -v при входе в сервер.
Это показывает подробный вывод и содержит строку, в которой подробно описывается номер версии демона ssh, запущенного на сервере.
, например. debug1: match: OpenSSH_7.5p1 Debian-2 pat OpenSSH* compat 0x04000000
О повторном выполнении моего сканирования PCI, пальцы скрещены!
Все четыре ошибки исправлены в версии пакета версии 17.04.
Вы можете попытаться выполнить резервное копирование версии пакета версии 17.04 в вашу систему 16.04.2.
Вы можете заменить ваша система 16.04.2 с 17.04.
Очевидно, что вы должны сначала протестировать любые изменения в виртуальной машине!
Начиная с 17.04, вы также можете запросить SRU исправлений 16,04. Они могут это сделать - важно соблюдение PCI.
У меня была такая же проблема.
Я решил это, используя wget, чтобы захватить пакеты debian openssh 7.5 отсюда:
https: //packages.debian .org / search? keywords = openssh-client
https://packages.debian.org/search?keywords=openssh-client
Затем, используя dpkg -i, чтобы установить их.
Чтобы дважды проверить версию ssh, открытую внешнему миру, вы можете использовать ssh -v при входе в сервер.
Это показывает подробный вывод и содержит строку, в которой подробно описывается номер версии демона ssh, запущенного на сервере.
, например. debug1: match: OpenSSH_7.5p1 Debian-2 pat OpenSSH* compat 0x04000000
О повторном выполнении моего сканирования PCI, пальцы скрещены!
Все четыре ошибки исправлены в версии пакета версии 17.04.
Вы можете попытаться выполнить резервное копирование версии пакета версии 17.04 в вашу систему 16.04.2.
Вы можете заменить ваша система 16.04.2 с 17.04.
Очевидно, что вы должны сначала протестировать любые изменения в виртуальной машине!
Начиная с 17.04, вы также можете запросить SRU исправлений 16,04. Они могут это сделать - важно соблюдение PCI.
Все четыре ошибки исправлены в версии пакета версии 17.04.
Вы можете попробовать выполнить резервное копирование версии пакета 17.04 в вашу систему 16.04.2.
Вы можете заменить ваша система 16.04.2 с 17.04.
Очевидно, что вы должны сначала протестировать изменения в виртуальной машине!
Начиная с версии 17.04 вы также можете запросить SRU исправлений до 16.04. Они могут это сделать - важно соблюдение PCI.