答案1
升级 openssl 只会让事情变得更糟,而不是更好。您需要获取一份与执行 PCI 认证的人有关的 CVE 列表。然后,您可以针对每个 CVE 向他们展示 Ubuntu 正在向后移植补丁来解决这些 CVE。
这是 Ubuntu 的安全追踪器。您应该能够将 CVE 放入此站点,并了解 Ubuntu 是否已解决该问题以及何时解决。
例如,最新的 openssl CVE 记录在案 这里,并链接到Ubuntu 关于此漏洞正在修复的通知。
为您进行 PCI 认证的公司应该接受此类文档。
答案2
如果您需要升级 OpenSSL,您的选择要么是升级整个操作系统,以便通过操作系统支持的软件包安装新版本的 OpenSSL,要么选择从源代码安装或使用第三方软件包存储库的曲折且常常出现问题的路径。
不过,你可能根本不需要升级。请记住,较新版本的安全修复程序会反向移植到较旧的软件包中。安全扫描经常会出现误报,因为它们依赖于简单的版本号检查;软件包更新日志表明它定期获得安全更新。在花费大量时间和精力进行升级之前,请先验证您是否确实容易受到这些发现的影响。