我正在运行OpenSSH 5.3p1-81.el6_3,这是根据我的服务器是最新的稳定版本。 由于我的OpenSSH版本的原因,我的PCI扫描显示了CVE-2010-4478和CVE-2011-0539漏洞。
检查“rpm -q –changelog openssh”显示最迟在2012年10月有更新。肯定这些已经解决了? 有更新版本的SSH(6.x我相信),但从我可以告诉,rehat / centos backports安全修复程序到旧的稳定版本像5.3。
这些固定在我的版本,还是不是? 如果是的话,我该如何显示这个给我的PCI扫描仪来certificate一个误报?
谢谢!
是的,你是最新的,而不是脆弱的这些特定的弱点。
为了解决这个问题,你需要在Red Hat中查找每个CVE,并注意包的状态。 在某些情况下,可以使用后端修补程序。 在其他情况下,由于各种因素(例如,供应商构build中可能不存在易受攻击的function),该软件包不会受到攻击。
在backported修复的情况下,如果你有相同或更新的软件包,在咨询中指出的,你没事的。 您只需注意,您的软件包包含一个backported修复程序,并使用来自Red Hat的信息作为已应用该修复程序的证据。
对于供应商列出的不易受攻击的软件包,只需提供给出的信息即可。
在这种情况下,CVE是: