rpm -q <package name>
fornecerá o número da versão do software, bem como o número da versão do pacote, mas você precisará investigar o conteúdo de rpm --changelog <package name>
para determinar quais correções foram aplicadas.
No momento, estamos trabalhando em uma avaliação de conformidade com PCI em nosso servidor que executa o CentOS.
Estamos recebendo muitos problemas "graves" com correções sugeridas. As sugestões para corrigir os problemas são principalmente para atualizar os pacotes para a versão mais recente. Conselhos sonoros eu pensei, até que eu corri 'sudo yum update', então corri o scan novamente e frustrantemente os problemas não tinham ido.
Falei com nosso provedor de hospedagem (é um servidor dedicado) e eles disseram que, embora a versão esteja atualizada, ela terá vários patches que corrigem problemas de segurança conhecidos.
Eles sugeriram a execução de um comando de changelog para os pacotes e, em seguida, apelaram cada um dos graves problemas sinalizados na varredura. Então eu fui criar um apelo para o primeiro problema e ele pediu a versão do pacote, o nível do patch e o motivo pelo qual eu sinto que estamos isentos.
Então, no CentOS, qual é a maneira mais simples de mostrar o número da versão e o nível do patch para cada pacote individual instalado?
Para listar todos os pacotes:
rpm -qa
Para listar todos os pacotes que correspondem a um padrão simples:
rpm -qa 'kernel*'
O seu auditor PCI é um idiota (surpresa quel). Eles apenas executam uma ferramenta automatizada como o nessus, que não faz nada além de comparar a versão reportada do serviço com uma lista de vulnerabilidades contra a versão upstream - eles não dizem "Ei, esse é o patchlevel N deste pacote, o RedHat já corrigiu isso para todas as vulnerabilidades conhecidas ".
Em última análise, você terá que obter a lista de CVEs aos quais o relatório diz que você está vulnerável (se o auditor não pode nem mesmo lhe dar isso ... bem, eles são idiotas , então você já está ferrado) e, em seguida, vasculhar os logs de alterações do CentOS para ver se eles foram corrigidos (também pode haver um sistema de relatórios de segurança que você pode examinar). O RHN tem algum tipo de serviço de busca CVE, mas como você não está pagando pelo RHEL, você presumivelmente não terá acesso a ele.