我有一台 Web 服务器需要通过 ControlScan 的 PCI 合规性扫描。除了他们对 PHP 版本进行的扫描外,其他一切都很好。我相信我拥有 CentOS 提供的最新版本。以下是他们所说的内容:
威胁参考
摘要:易受攻击的PHP版本:5.2.6
风险:高 (3) 端口:80/tcp 协议:tcp 威胁 ID:web_prog_php_version
<---PHP 漏洞的超长列表已精简--->
来自目标的信息:服务:http 发送:GET /javascript/HTTP/1.0 主机:用户代理:Mozilla/4.0
收到:X-Powered-By:PHP/5.2.6
这是我的 php 版本:
rpm -qa php php-5.2.6-1.el5.art
据我所知,它是反向移植的,所以虽然它不是最新版本,但它仍然应用了安全补丁。
我相信我已经安装了 CentOS 允许的最新版本(事实上我几周前刚刚做了更新)这是当前的输出:
yum update php 已加载插件:fastestmirror 从缓存的主机文件加载镜像速度 * 插件:mirror.es.its.nyu.edu * 基础:mirror.atlanticmetro.net * 附加组件:mirrors.advancedhosters.com * 更新:mirror.linux.duke.edu 插件 | 1.9 kB 00:00 基础 | 1.1 kB 00:00 附加组件 | 2.1 kB 00:00 更新 | 1.9 kB 00:00 设置更新过程 没有标记为更新的软件包
他们要求提供变更日志,因此我运行了:
rpm -q --changelog php
但它没有列出 CVE....我如何确定 PHP 是否真的包含这些漏洞?我对此束手无策...这令人沮丧,因为他们实际上并没有测试漏洞,他们只是从标题中获取版本号... :/
答案1
更糟糕的是...你用的是旧的,而且第三者PHP 包。谁知道他们是否曾经更新过它?他们不太可能反向移植安全修复程序。
您确实应该将 PHP 更新到最新的 5.4 或 5.5 版本;如果您使用的是上游版本或第三方版本,这是唯一可以确定的方法。这意味着您可能还应该将操作系统更新到最新的可用版本。