我有一个Web服务器需要通过ControlScan的PCI合成扫描。 除了PHP版本的扫描之外,一切都很好。 我相信我有CentOS提供的最新版本。 这是他们不得不说的:
威胁参考
总结:易受攻击的PHP版本:5.2.6
风险:高(3)端口:80 / tcp协议:tcp威胁ID:web_prog_php_version
- CentOS VPS上不受信任的SSL证书
- 计算机适用于PCI DSS的范围
- PCI RapidComply的XSS漏洞
- Debian Stretch – OpenSSH版本的PCI合规性问题
- 在Windows 2003上禁用弱密码
<—真正的PHP漏洞修补清单—>
来自目标的信息:服务:http发送:GET / javascript / HTTP / 1.0主机:用户代理:Mozilla / 4.0
收到:X-Powered-By:PHP / 5.2.6
这是我的版本的PHP:
rpm -qa php php-5.2.6-1.el5.art
根据我的理解,它是回溯的,虽然它不是最新版本,但它仍然有安全补丁应用。
我相信我已经安装了CentOS允许的最新版本(实际上我几个星期前刚刚做了一个更新)下面是当前输出:
yum update php加载插件:fastermirror从caching的hostfile加载镜像速度* addons:mirror.es.its.nyu.edu * base:mirror.atlanticmetro.net * extras:mirrors.advancedhosters.com * updates:mirror.linux.duke。 edu addons | 1.9 kB 00:00 base | 1.1 kB 00:00 extras | 2.1 kB 00:00更新| 1.9 kB 00:00设置更新过程不包标记为更新
他们要求更新日志,所以我跑了:
rpm -q –changelog php
但它没有列出CVE的….如何确定如果PHP实际上包含这些漏洞? 我正在用我的绳索结束…这很令人沮丧,因为他们实际上没有testing漏洞,他们只是从头文件中挑选一个版本号:
更糟糕的是,您正在使用旧的和第三方的 PHP软件包。 谁知道他们是否更新过? 当然他们不太可能支持安全补丁。
你真的应该更新PHP到最新的5.4或5.5版本; 如果您使用的是上游版本或第三方版本,那么这是唯一可以确定的方法。 这意味着您应该也可以将操作系统更新到最新版本。