我有一个运行Ubuntu 14.04.3的VPS。 这个版本的最新Ubuntu版本的Apache是Apache 2.4.7。
但是我为其configuration服务器的公司正在寻求PCI合规性,并且由于Apache 2.4.14中的安全漏洞而被拒绝。
目前Apache的最新稳定版本是2.4.17。
我可以在服务器上安装Apache 2.4.17是否明智/可行 – 我可以通过使用另一个软件包存储库的apt-get来实现,还是需要从源代码构build?
从安全angular度来看,您不希望运行Apache httpd 2.4.14甚至2.4.17,您只是不想受到任何已知的Apache(或其他)安全漏洞的攻击。
一般来说,您已经通过在您支持的Ubuntu LTS版本上定期应用安全更新来实现这一目标。
安全扫描可能检测到您的Apache版本string2.4.7,在https://nvd.nist.gov/等已知漏洞的数据库中快速查找,并在cvedetails.com上find与此类似的列表,并发现CVE-2015-3185是适用于您的Apache版本的最新漏洞。
然后得出一个无知的结论:要“安全合规”,必须盲目跟踪该CVE,并且必须升级到Apache httpd 2.4.14或更新版本。
这并没有考虑到“企业”Linux发行版中“回溯”安全更新的常见做法。 在RedHat.com上很好地描述了backporting和这个过程的原因,但是对于Ubuntu来说是相似的。 (请阅读整篇文章。)简而言之,旧版本号根本不等于不安全。
Ubuntu已经将CVE-2015-3185认定为USN-2686-1,并且已经得到解决。
如果您还没有安装正式的安全更新,并且仍然保留在Apache 2.4.7版本上,那么您不会受到CVE-2015-3185以及之前任何CVE的攻击。
我不是很熟悉PCI合规性authentication过程,所以如何将上述内容翻译成获得authentication。
有什么可以帮助的是这个答案 (甚至整个Q&A是有趣的,尽pipe集中在RHEL):使用下面的Apache指令,并设置ServerTokens到Prod并在您的httpd.conf中设置ServerSignature Off 。
我可以build议你聘请PCI经验顾问。 这是一个非常重要,很难获得authentication。 为了在我的一个客户那里做到这一点,我们在一个中等规模的基础设施上,以100K $的价格来讲话。 同样,你需要看看伟大的图片。 如果你的Apache服务器需要兼容PCI,那么你的操作系统,你的数据库,networking基础设施(IPS / IDS),WAF,FireWall等等…
我不知道你的设置和你的客户端设置是什么。 但是,这需要一些认真的分析……那么多,即使是一些大公司让它去提供这种服务的专家的外部服务。
同样,如果有什么问题(如果你是一个顾问),你也想得到一些严重的保险,并回到你的身边…准备好bug时间(狗屎击中粉丝)…
只是我2美分。 我知道这在技术上对你没有帮助,但是我认为这对你来说是一个公平的投入,因为你应该把精力放在那个方面。
在这,祝你好运。