sinalizadores de auditoria de segurança redhat / centos números de versão do pacote apesar dos patches

3

A Redhat tem esta política de correções de segurança backporting.

Mas quando os sites RHEL e CentOS são auditados, os auditores invariavelmente apenas listam as versões do pacote ou perguntam ssh qual é o número da versão, e então eles falham porque parece que você está rodando uma versão vulnerável, digamos, do OpenSSH.

As únicas maneiras que posso ver para responder a isso são:

  1. Compile uma lista de avisos de segurança do RHEL, o que presumivelmente mostraria que o rpm aparentemente antigo está, de fato, corrigido. Eu aposto que o auditor não iria realmente lê-lo embora.
  2. Basta instalar um pacote mais novo, mesmo que seja inútil. Isso é muito mais difícil do que parece, porque o pacote do desenvolvedor não terá init.d scripts e outras integrações. E o OpenSSH é difícil de instalar em si mesmo em um datacenter sem luz quando é o seu método de acesso remoto.

Existe uma ideia melhor?

Existe algo chamado OVAL. Redhat pelo menos costumava fornecer alertas nesse formato. Isso realmente funciona nos auditores?

    
por DigitalRoss 21.04.2016 / 00:24

0 respostas