PHP和PCI合规性

我有一个Web服务器需要通过ControlScan的PCI合成扫描。 除了PHP版本的扫描之外,一切都很好。 我相信我有CentOS提供的最新版本。 这是他们不得不说的:

威胁参考

总结:易受攻击的PHP版本:5.2.6

风险:高(3)端口:80 / tcp协议:tcp威胁ID:web_prog_php_version

<—真正的PHP漏洞修补清单—>

来自目标的信息:服务:http发送:GET / javascript / HTTP / 1.0主机:用户代理:Mozilla / 4.0

收到:X-Powered-By:PHP / 5.2.6

这是我的版本的PHP:

rpm -qa php php-5.2.6-1.el5.art

根据我的理解,它是回溯的,虽然它不是最新版本,但它仍然有安全补丁应用。

我相信我已经安装了CentOS允许的最新版本(实际上我几个星期前刚刚做了一个更新)下面是当前输出:

yum update php加载插件:fastermirror从caching的hostfile加载镜像速度* addons:mirror.es.its.nyu.edu * base:mirror.atlanticmetro.net * extras:mirrors.advancedhosters.com * updates:mirror.linux.duke。 edu addons | 1.9 kB 00:00 base | 1.1 kB 00:00 extras | 2.1 kB 00:00更新| 1.9 kB 00:00设置更新过程不包标记为更新

他们要求更新日志,所以我跑了:

rpm -q –changelog php

但它没有列出CVE的….如何确定如果PHP实际上包含这些漏洞? 我正在用我的绳索结束…这很令人沮丧,因为他们实际上没有testing漏洞,他们只是从头文件中挑选一个版本号:

更糟糕的是,您正在使用旧的和第三方的 PHP软件包。 谁知道他们是否更新过? 当然他们不太可能支持安全补丁。

你真的应该更新PHP到最新的5.4或5.5版本; 如果您使用的是上游版本或第三方版本,那么这是唯一可以确定的方法。 这意味着您应该也可以将操作系统更新到最新版本。