我正在运行 OpenSSH 5.3p1-81.el6_3,根据我的服务器,这是最新稳定版本。我的 PCI 扫描显示,由于我的 OpenSSH 版本,存在 CVE-2010-4478 和 CVE-2011-0539 漏洞。
检查“rpm -q --changelog openssh”显示,截至 2012 年 10 月,已有更新。这些问题肯定已经解决了?有较新版本的 SSH(我相信是 6.x),但据我所知,rehat/centos 将安全修复程序反向移植到旧的稳定版本(如 5.3)。
我的版本中是否修复了这些问题?如果是,我该如何向 PCI 扫描仪显示该问题以证明误报?
谢谢!
答案1
是的,您已经更新,并且不会受到这些特定漏洞的攻击。
要解决此问题,您需要在 Red Hat 上查找每个 CVE并记下软件包的状态。在某些情况下,将提供反向移植修复。在其他情况下,由于各种因素(例如,易受攻击的功能可能不存在于供应商的版本中),软件包不会受到攻击。
对于反向移植修复,如果您拥有与公告中所述相同或更新的软件包,则一切正常。您只需注明您的软件包包含反向移植修复,并使用 Red Hat 提供的信息作为已应用修复的证据。
对于供应商列出的不易受攻击的软件包,只需提供给出的信息。
在此特定案例中,CVE 为:
- CVE-2010-4478(不易受攻击)
- CVE-2011-0539(不易受攻击)