我在 AWS 上运行了一个 Linux AMI,使用的是 OpenSSL 1.0.1k 版本
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
PCI 合规性要求版本高于 1.0.1p,因为他们声称旧版本存在已知的安全问题。当我尝试使用“yum”更新机器上的 openssl 包时,系统提示我 openssl 是最新的。
$ sudo yum update openssl
No packages marked for update
还有人有类似的问题吗?是否可以在 Linux AMI 上安装最新的 openssl?Linux AMI 是否不能符合 PCI 标准?
作为背景,我使用的是 Amazon Linux AMI 版本 2015.09
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
答案1
扫描失败的原因可能是服务器签名在“服务器”标头响应中包含“openssl/1.0.1k”。这是扫描器了解正在运行的 openssl 版本的唯一方法。
如果您希望扫描通过,您可以尝试关闭 Web 服务器中的 ServerSignature。这会从 http 响应标头中删除“openssl/1.01k”,并且扫描将不再拾取旧版本号。
由于我们知道亚马逊确实反向移植了所有 CVE 修复程序,因此这样做是完全安全的。