Соответствие PCI: установить Apache 2.4.17 на Ubuntu 14.04.3?

Question

Соответствие PCI: установить Apache 2.4.17 на Ubuntu 14.04.3?

У меня VPS работает под управлением Ubuntu 14.04.3. Последняя версия Apache с поддержкой Ubuntu для этого выпуска - Apache 2.4.7.

Но компания, для которой я настроил сервер, ищет соответствие PCI, и ей было отказано из-за уязвимостей безопасности, исправленных в Apache 2.4.14.

Последняя стабильная версия Apache в настоящее время 2.4.17.

Было бы целесообразно / целесообразно для меня установить Apache 2.4.17 на сервер - могу ли я сделать это, используя apt-get с другим репозиторием пакетов, или мне нужно будет собрать из исходного кода?

3

linux apache-2.4 ubuntu-14.04 apt pci-dss

Источник

user548958 20 ноя '15 в 17:29

2 ответа

Другие вопросы по тегам linux apache-2.4 ubuntu-14.04 apt pci-dss

HBruijn 20 ноя '15 в 18:19 2015-11-20 18:19 · Answer 1 · 2015-11-20 18:19

С точки зрения безопасности вы вообще не хотите запускать Apache httpd 2.4.14 или даже 2.4.17, вы просто не хотите быть уязвимыми для каких-либо известных уязвимостей безопасности Apache (или других).

В целом, вы уже достигли этого, регулярно применяя обновления безопасности для поддерживаемой версии Ubuntu LTS.

Проверка безопасности, вероятно, обнаружила вашу версию Apache 2.4.7, быстро проверила базу данных с известными уязвимостями, такими как https://nvd.nist.gov/ и нашла список, похожий на этот, на cvedetails.com и обнаружила, что CVE-2015-3185 - это самая последняя уязвимость, которая применима к вашей версии Apache.

Затем приходит неосведомленный вывод: чтобы быть "безопасным и совместимым", нужно слепо следовать этому CVE, и вы должны перейти на версию Apache httpd 2.4.14 или более новую.

Это не учитывает распространенную практику в дистрибутивах Linux "Enterprise" для "бэкпорта" обновлений безопасности. Причины бэкпорта и процесс довольно хорошо описаны на RedHat.com, но аналогичны для Ubuntu. (Пожалуйста, прочитайте всю эту статью.) Короче говоря, номер более старой версии вовсе не означает небезопасную.

CVE-2015-3185 был признан Ubuntu как USN-2686-1 и был адресован.

Если вы этого еще не сделали, просто установите обычные обновления безопасности и, несмотря на то, что вы остаетесь в Apache версии 2.4.7, вы не уязвимы ни к CVE-2015-3185, ни к каким-либо из предыдущих CVE.

Я не очень хорошо знаком с процессом сертификации соответствия PCI, так как перевести вышеперечисленное на получение сертификата...

Может помочь этот ответ (и даже весь этот вопрос и ответы интересны, несмотря на то, что он сосредоточен на RHEL): используйте следующие директивы Apache и установите ServerTokens в Prod и установить ServerSignature в Off в вашем httpd.conf.

yield 20 ноя '15 в 19:08 2015-11-20 19:08 · Answer 2 · 2015-11-20 19:08

Могу ли я предложить вам нанять консультанта по опыту PCI? Это действительно важно и сложно получить сертификацию. Чтобы сделать это на одном из моих клиентов, мы говорили о многом 100K$ для инфраструктуры среднего размера. Также вам нужно взглянуть на великолепную картинку. Если ваш сервер Apache должен быть совместимым с PCI, то в качестве вашей ОС вы используете DATABASE, свою сетевую инфраструктуру (IPS/IDS), WAF, FireWall и т. Д.

Я не знаю, какие у вас настройки, а у вас настройки клиента. Но для этого нужен серьезный анализ... Настолько, что даже некоторые крупные компании отдают его сторонним службам, которые являются экспертами в предоставлении таких услуг.

Кроме того, вы также хотели бы получить некоторые серьезные страховки, если что-то не так (если вы консультант), и это возвращается к вам... Будьте готовы к ошибкам (дерьмо попало в вентилятор)...

Просто мои 2 цента. Я знаю, что это не поможет вам в техническом плане, но я думаю, что это справедливый вклад для вас, поскольку вы должны вкладывать энергию в это или нет...

На этом, удачи.