TrustWave在扫描CentOS的时候已经变得更好了 – 当我提出争议的时候,我现在至less可以select“我有后端软件”。 但是他们每个月都要花费数小时的精力指向和点击他们的网站,他们仍然提供了极好的工作保障。
现在我的问题。 CVE-2016-10009还没有被RHEL人修补 ,CentOS也没有直接的修复方法 。 在TrustWave对我最初的争议的回应中有这样一个提示:
由于这一发现影响PCI DSS合规性,因此需要确认已经以某种方式解决。 扫描报告中列出的要求是升级系统或使用所提到的补偿控制(例如从不加载可信白名单外的path(运行时可configuration)的PKCS#11模块)。
最新的OpenSSH补丁修复了OpenSSH 7.3,我不清楚这个漏洞是否会被解决。 所提到的“补偿控制” – 只允许列入白名单的模块 – 正是7.4中的修复,所以这没有什么帮助,扫描报告没有列出任何内容。
因此,我正在寻找能满足扫描仪的configuration更改,但是我找不到。 这是一个体面的解释这个问题。 有什么我可以做的吗? 禁用PKCS#11?
这是一个漏洞,如果客户端连接了ssh-agent转发,恶意ssh 服务器可以攻击客户端, 并且已经在客户端的文件系统上安装了恶意文件。
我也认为TrustWave高估了这个问题的重要性。
也就是说,显而易见的解决方法是在/etc/ssh/sshd_config禁用代理转发。
AllowAgentForwarding no
请记住,如果服务器受到攻击,攻击者可以将其删除,然后等待倒霉的pipe理员连接其代理。 所以这是一个荒谬的解决方法。
我相信这个问题是没有意义的。
我的理解是,Trustwave检查了漏洞,并调整了他们的CVSS /严重度排名,以便发现不再是PCI失败。
(同样AllowAgentForwarding no一AllowAgentForwarding no是, AllowAgentForwarding no是一个愚蠢的红鲱鱼,这是一个服务器端configuration,这是一个客户端漏洞。)