Atualizando o OpenSSH para a última versão estável via yum

Navegue suas respostas
3

Estou executando o CentOS 5.7 e preciso atualizar o OpenSSH para a versão estável mais recente (problemas de conformidade com PCI). No entanto, a versão mais recente disponível através do repositório CentOS yum é 4.3p2. Como posso atualizar para a última versão estável usando o yum? Existe um repositório diferente que eu deveria configurar?

    
por smusumeche 19.12.2011 / 19:05

5 respostas

5

No que diz respeito a correções de segurança, está tudo pronto; seu scanner de conformidade é o que está errado.

Muitos desses scanners fazem sua detecção de vulnerabilidades através de uma verificação da string de versão (neste caso, uma verificação da string que o OpenSSH envia para clientes de conexão, incluindo sua versão), que geralmente leva a falsos positivos quando esses scanners assumem "O problema X foi corrigido na versão 5. do OpenSSH. Tente mudar um servidor Apache para ServerTokens Major e veja o scanner acender com um monte de vulnerabilidades 2.0, independentemente de qual versão você está realmente usando.

Descubra exatamente quais vulnerabilidades a varredura acha que você tem, localize-as no changelog do RPM e envie ao fornecedor da varredura a versão em que você está, como prova de que a detecção da varredura é um falso positivo. E este link , por uma boa medida.

    
por 19.12.2011 / 19:16
4

Tenha em mente que o RedHat Backport todas as correções de segurança em sua versão estável do SSH.

Assim, a execução de um yum update openssh irá atualizá-lo para a versão mais recente e estável do seu sistema operacional. Isso deve ser bom o suficiente para qualquer requisito de conformidade PCI adequado, mas pode exigir educação de parte do responsável pela conformidade PCI.

Veja também estas perguntas relacionadas para obter algumas dicas úteis: Avaliação de conformidade com o CentOS PCI

    
por 19.12.2011 / 19:15
1

Toda empresa de varredura PCI possui métodos diferentes, mas normalmente você pode contestar o resultado como um falso positivo.

Forneça a versão atual do sistema operacional, a versão do SSH e quando ela foi instalada.

eu uso 

rpm -qa --last|grep "name"

Em que nome é o nome do rpms para o serviço no qual você está interessado. Neste caso, "ssh" serve.

Envie-lhes esses dados. Isso geralmente é suficiente na maioria dos casos.

    
por 19.12.2011 / 19:49
0

O OpenSSH 4.3p2 é a única versão do OpenSSH oficialmente suportada pelo CentOS 4.7.

É claro que você pode criar um pacote para uma versão mais recente do OpenSSH, mas duvido que isso resolva seus "problemas de conformidade com PCI".

Quais problemas você tem exatamente com o OpenSSH 4.3p2?

    
por 19.12.2011 / 19:12
0

Para ter compatibilidade com PCI, tive que atualizar recentemente o openssh no centos7 (openssh6.6) para o openssh7.5 (versão mais recente). Eu me referi a este blog para atualizar. Espero que isso ajude para atualização centos7 para openssh.

    
por 18.07.2017 / 08:34

Tags

Como posso impedir que o openconnect altere o /etc/resolv.conf? Prevenção de vazamento de dados e problemas de HTTPS