Версия OpenSSL в Linux AMI - 1.0.1k, но для соответствия PCI требуется 1.0.1p [дубликат]
На этот вопрос уже есть ответ здесь:
Я запускаю linux AMI на AWS с версией 1.0.1k openssl
$ openssl version -v
OpenSSL 1.0.1k-fips 8 Jan 2015
Соответствие PCI требует версии выше 1.0.1p, потому что они утверждают, что существуют известные проблемы безопасности со старыми версиями. Когда я пытаюсь обновить пакет openssl на машине с помощью 'yum', мне говорят, что openssl обновлен.
$ sudo yum update openssl
No packages marked for update
Есть ли у кого-нибудь еще подобная проблема? Можно ли установить последнюю версию openssl на Linux AMI? Не совместим ли Linux AMI с PCI?
Для справки я использую Amazon Linux AMI версии 2015.09
$ cat /etc/*-release
Amazon Linux AMI release 2015.09
Причина сбоя сканирования, скорее всего, связана с тем, что подпись сервера содержит "openssl / 1.0.1k" в ответе заголовка "Сервер". Это единственный способ узнать, какая версия openssl работает.
Если вы хотите, чтобы сканирование прошло, вы можете просто отключить ServerSignature на своем веб-сервере. Это удаляет «openssl / 1.01k» из заголовков HTTP-ответов, и сканирование больше не улавливает старый номер версии.
Поскольку мы знаем, что Amazon выполняет резервное копирование всех исправлений CVE, как уже отмечалось, это совершенно безопасно.