Соответствие PCI: установить Apache 2.4.17 на Ubuntu 14.04.3?
У меня есть VPS под управлением Ubuntu 14.04.3. Последней поддерживаемой Ubuntu версией Apache для этого выпуска является Apache 2.4.7.
Но компания, для которой я настроил сервер, добивается соответствия PCI, и ей было отказано из-за уязвимостей безопасности, исправленных в Apache 2.4.14.
Последним стабильным выпуском Apache в настоящее время является 2.4.17.
Было бы целесообразно / целесообразно для меня установить Apache 2.4.17 на сервере - могу ли я сделать это, используя apt-get с другим репозиторием пакетов, или мне нужно будет строить из исходников?
Могу я предложить вам нанять консультанта по опыту PCI. Это действительно важный и трудный для получения сертификат. Чтобы сделать это у одного из моих клиентов, мы говорили о 100 тысячах долларов для инфраструктуры среднего размера. Также вам нужно смотреть на отличную картинку. Если ваш сервер Apache должен быть совместим с PCI, так как ваша ОС, ваша БАЗА ДАННЫХ, ваша сетевая инфраструктура (IPS / IDS), WAF, FireWall и т. Д.
Я не знаю, каковы ваши настройки, и как вы настроили клиент . Но для этого нужен серьезный анализ ... Настолько, что даже некоторые крупные компании передают это сторонним службам, которые являются экспертами в предоставлении таких услуг.
Кроме того, вы также хотели бы получить серьезную страховку, если есть что-то не так (если вы консультант), и это возвращается к вам ... Будьте готовы ко времени ошибок (дерьмо ударило по поклоннику) ...
Только мои 2 цента. Я знаю, что технически это вам не поможет, но я думаю, что это справедливый вклад для вас, так как вы должны вкладывать в это энергию или нет ...
В этом, удачи.
С точки зрения безопасности вы вообще не хотите запускать Apache httpd 2.4.14 или даже 2.4.17, вы просто не хотите быть уязвимыми для любого известного Apache (или прочее) уязвимости безопасности.
В общем, вы уже достигли этого, регулярно применяя обновления безопасности для поддерживаемой версии Ubuntu LTS.
Сканирование безопасности, вероятно, обнаружило строку с версией Apache 2.4.7, провело быстрый поиск в базе данных с известными уязвимостями, такими как https://nvd.nist.gov/ , и обнаружило список, похожий на эта на cvedetails.com и обнаружила, что CVE-2015-3185 - это самая последняя уязвимость, которая применима к вашей версии Apache.
Затем следует невежественный вывод: чтобы быть "безопасным и совместимым" , нужно слепо следовать этой CVE и вы должны обновиться до версии Apache httpd 2.4.14 или новее.
Это не требует принять во внимание обычную практику в дистрибутивах Linux «Enterprise» для «backport» обновлений безопасности . Причины резервного копирования и процесс довольно хорошо описаны на RedHat.com , но аналогичны для Ubuntu. (Пожалуйста, прочтите эту статью.) Суть в том, что старый номер версии вообще не означает небезопасный.
CVE-2015-3185 был признан Ubuntu как USN-2686-1 и был адресован.
Если вы еще этого не сделали, просто установите обычные обновления безопасности, и, несмотря на то, что вы остаетесь на Apache версии 2.4.7, вы не уязвимы ни для CVE-2015-3185, ни для каких-либо предыдущих CVE.
Я не очень близок к этому. знаком с процессом сертификации на соответствие требованиям PCI, поэтому как перевести вышесказанное на получение сертификата ...
Что может помочь, так это этот ответ (и даже все эти вопросы и ответы интересны, несмотря на то, что они сосредоточены на RHEL): используйте следующие директивы Apache и установите ServerTokens на Prod и установите для параметра ServerSignature значение Off в вашем httpd.conf.