¿Son las actualizaciones de seguridad suministradas por el proveedor de Linux suficientes para el cumplimiento de PCI?

5

Tengo varios sistemas que requieren el cumplimiento de PCI, todos ellos ejecutan CentOS 6.4 con todas las actualizaciones de seguridad aplicadas diariamente. Sin embargo, el escaneo de cumplimiento de PCI a menudo rechazará las versiones detectadas de servicios externos (Apache, PHP, MySQL) que se consideran inseguras. La medición de la seguridad es simplemente el número de versión del paquete de software: si esa información se reporta al escáner en lugar de tener toda la información de la versión desactivada al mundo exterior mediante la definición de una configuración menos detallada.

Tengo una nueva caja CentOS 6.4 que estoy asegurando y ha fallado su escaneo PCI inicial (no me sorprende). Pero el primer problema reportado dice: "PHP 5.3 < 5.3.7 Vulnerabilidades múltiples". El servidor actualmente tiene PHP 5.3.3, tal como lo proporciona CentOS. También hay otros paquetes que fallan, pero me centraré en PHP para esta pregunta.

Algunos puntos a considerar

  • En general, se entiende (creo) que los proveedores de Linux que afirman la estabilidad como una característica no apresuran cada nueva versión de un paquete lanzado hacia arriba, con una excepción a veces para los navegadores web / complementos.
  • Los proveedores lanzan actualizaciones de seguridad, pero no para cada versión de origen. (Ejemplo: PHP 5.3.26 es el más nuevo en las versiones 5.3, y afirma para corregir CVE-2013-2110 .)
  • Los paquetes de proveedores a veces dejan el número de versión major.minor igual, pero el número de versión con un parche de seguridad se incluye en su paquete por razones de compatibilidad. Por lo tanto, es posible que se haya solucionado un problema de seguridad incluso si el número de versión no lo sugiere. (PCI: esto requiere mucho tiempo en la documentación manual para obtener una anulación del cumplimiento).
  • He visto argumentos en el pasado que los paquetes de proveedores pueden ser más seguros, sobre la base de que pueden incluir parches no estándar a la fuente. Sin embargo, esto rara vez se documenta de manera que pueda revisarse fácilmente.
  • Lanzamos nuestros propios paquetes para obtener versiones más recientes de servicios externos, como PHP, que se actualizan rápidamente. También proporciona correcciones de errores poco claros, lo que probablemente menos preocupa a los proveedores.

Para lograr el cumplimiento de PCI, mi experiencia muestra que la transferencia de paquetes personalizados es la única forma de pasar. Hemos utilizado Security Metrics, Trust Wave y Control Scan con varios resultados. ¿Significa eso que los paquetes suministrados por el proveedor, incluidas sus actualizaciones de seguridad, no son suficientes porque están muy por detrás de las versiones anteriores?

Nota: estoy haciendo esta pregunta porque he visto muchos "consejos de seguridad" a lo largo del tiempo que recomiendan "Ejecutar yum upgrade diariamente para obtener sus actualizaciones de seguridad", pero un escáner PCI generalmente no está de acuerdo con que se haya realizado el esfuerzo suficiente para La seguridad de las versiones instaladas.

    
pregunta jimp 22.06.2013 - 20:53
fuente

1 respuesta

1

PCI DSS requiere que "se hayan instalado los últimos parches de seguridad suministrados por el proveedor". ( PCI 6.1 pág. 38 ). Esto significa que si PHP lanza un parche de seguridad, entonces necesita aplicarlo, incluso si su distribución aún no lo tiene en su repositorio.

Su regla de oro es consultar el número de versión del producto y lo que el proveedor (PHP, Apache, etc.) ha lanzado, por seguridad. Los escáneres y los repositorios de distribución pueden ayudar, pero no son lo que se necesita verificar o auditar. Sepa lo que ha instalado y verifique regularmente las actualizaciones de seguridad. Verifique dos veces los resultados de su escáner para tener en cuenta los falsos negativos y confirme los hallazgos para tener en cuenta los falsos positivos.

    
respondido por el schroeder 25.06.2013 - 23:30
fuente

Lea otras preguntas en las etiquetas