PCI complience com o pacote openssh

Question

PCI complience com o pacote openssh

#1 resposta do MeWillWork4Food (0 votos)
#2 resposta do user535733 (0 votos)

0

Estou em uma situação em que estamos fazendo varreduras PCI internas e um servidor que está no escopo é um Ubuntu Server 16.04.2 LTS. O pacote mais recente para o openssh-server é o OpenSSH_7.2p2 mostrado com o comando ssh -V. O PCI está reclamando com alguns novos Bugs / vulnerabilidades do CVE

CVE-2016-10009
CVE-2016-10010
CVE-2016-10011
CVE-2016-10012

Todos esses programas são considerados "necessários" quando se olha para o link

Como sou muito novo em conformidade com PCI e digitalizações, fico pensando como devo proceder para passar por aqui. Eu tentei atualizar para o OpenSSH 7.5 manualmente. Embora o comando ssh -V mostre 7.5, a varredura não está captando isso e acha que eu ainda estou usando o 7.2. Estou faltando alguma coisa aqui sobre a minha atualização manual e por que o meu programa de digitalização ainda acha que estou usando 7,2? E se eu não posso atualizá-lo manualmente e precisa contar com os backports lançados no futuro, posso argumentar para passar a varredura interna com base nisso?

por instantteddy 11.04.2017 / 13:20

2 respostas

Depois de instalar os drives usb do Ubuntu, não aparecem mais na minha bios Como alterar os drivers de vídeo da CLI

score 0 · Answer 1

Eu estava tendo exatamente o mesmo problema.

Eu resolvi isso usando wget para pegar os pacotes debian do openssh 7.5 aqui:

link

Em seguida, use dpkg -i para instalá-los.

Para verificar novamente a versão do ssh exposta ao mundo externo, você pode usar ssh -v ao efetuar login no servidor.

Isso mostra a saída detalhada e deve conter uma linha que detalha o número da versão do daemon ssh em execução no servidor.

por exemplo. debug1: match: OpenSSH_7.5p1 Debian-2 pat OpenSSH* compat 0x04000000

Prestes a voltar a executar o meu PCI scan, dedos cruzados!

score 0 · Answer 2

Todos os quatro erros foram corrigidos na versão 17.04 do pacote.

Você pode tentar retroceder a versão 17.04 do pacote para o seu sistema 16.04.2.

Você pode substituir seu sistema 16.04.2 por 17.04.

Obviamente, você deve testar as alterações em uma VM primeiro!

Desde o lançamento de 17.04, você também pode solicitar um SRU das correções para 16.04. Eles podem fazer isso - a conformidade com a PCI é importante.