Tengo varios sistemas que requieren el cumplimiento de PCI, todos ellos ejecutan CentOS 6.4 con todas las actualizaciones de seguridad aplicadas diariamente. Sin embargo, el escaneo de cumplimiento de PCI a menudo rechazará las versiones detectadas de servicios externos (Apache, PHP, MySQL) que se consideran inseguras. La medición de la seguridad es simplemente el número de versión del paquete de software: si esa información se reporta al escáner en lugar de tener toda la información de la versión desactivada al mundo exterior mediante la definición de una configuración menos detallada.
Tengo una nueva caja CentOS 6.4 que estoy asegurando y ha fallado su escaneo PCI inicial (no me sorprende). Pero el primer problema reportado dice: "PHP 5.3 < 5.3.7 Vulnerabilidades múltiples". El servidor actualmente tiene PHP 5.3.3, tal como lo proporciona CentOS. También hay otros paquetes que fallan, pero me centraré en PHP para esta pregunta.
Algunos puntos a considerar
- En general, se entiende (creo) que los proveedores de Linux que afirman la estabilidad como una característica no apresuran cada nueva versión de un paquete lanzado hacia arriba, con una excepción a veces para los navegadores web / complementos.
- Los proveedores lanzan actualizaciones de seguridad, pero no para cada versión de origen. (Ejemplo: PHP 5.3.26 es el más nuevo en las versiones 5.3, y afirma para corregir CVE-2013-2110 .)
- Los paquetes de proveedores a veces dejan el número de versión major.minor igual, pero el número de versión con un parche de seguridad se incluye en su paquete por razones de compatibilidad. Por lo tanto, es posible que se haya solucionado un problema de seguridad incluso si el número de versión no lo sugiere. (PCI: esto requiere mucho tiempo en la documentación manual para obtener una anulación del cumplimiento).
- He visto argumentos en el pasado que los paquetes de proveedores pueden ser más seguros, sobre la base de que pueden incluir parches no estándar a la fuente. Sin embargo, esto rara vez se documenta de manera que pueda revisarse fácilmente.
- Lanzamos nuestros propios paquetes para obtener versiones más recientes de servicios externos, como PHP, que se actualizan rápidamente. También proporciona correcciones de errores poco claros, lo que probablemente menos preocupa a los proveedores.
Para lograr el cumplimiento de PCI, mi experiencia muestra que la transferencia de paquetes personalizados es la única forma de pasar. Hemos utilizado Security Metrics, Trust Wave y Control Scan con varios resultados. ¿Significa eso que los paquetes suministrados por el proveedor, incluidas sus actualizaciones de seguridad, no son suficientes porque están muy por detrás de las versiones anteriores?
Nota: estoy haciendo esta pregunta porque he visto muchos "consejos de seguridad" a lo largo del tiempo que recomiendan "Ejecutar yum upgrade
diariamente para obtener sus actualizaciones de seguridad", pero un escáner PCI generalmente no está de acuerdo con que se haya realizado el esfuerzo suficiente para La seguridad de las versiones instaladas.