Como obtenho uma PCI compatível com o OS X 10.5 box quando as versões PHP e Kerberos do OS X 10.5.7 são consideradas 'Vulnerabilidades'?

Question

Como obtenho uma PCI compatível com o OS X 10.5 box quando as versões PHP e Kerberos do OS X 10.5.7 são consideradas 'Vulnerabilidades'?

#1 resposta do (3 votos)
#2 resposta do (1 votos)

1

Acabei de atualizar um servidor para a versão mais recente do OS X 10.5.7 e minha varredura de conformidade me diz que esses componentes instalados no SO estão causando vulnerabilidades. Não consigo ver onde posso baixar versões superiores ou mesmo se elas existem!

O Kerberos 5 é listado como tendo "Várias vulnerabilidades", mas, até onde eu posso ver, não há uma versão superior disponível para o Mac OS X.

PHP Anterior ao 5.2.9 também está listado como tendo 'Múltiplas Vulnerabilidades' e eu posso ver que o 5.2.9 é de uso geral, mas não consigo fazer o download em qualquer lugar. Até mesmo o link de download no site da Apple está morto.

O MySQL também está listado como uma vulnerabilidade e eles estão dizendo que versões anteriores à 5.1.9 são vulneráveis, mas apenas 5.1.35 está disponível para download como uma versão estável.

Alguém sabe como responder a essas perguntas aparentemente sem resposta? Eu tenho apenas alguns servidores executando 40-50 sites. Tudo no Mac OS. Obrigado

mysql php kerberos mac-osx pci-dss

por Warner 18.06.2009 / 07:36

2 respostas

Tags mysql php kerberos mac-osx pci-dss

Como defino a variável ORACLE_HOME para a conta do Sistema Local? Como posso gerar diferentes níveis de carga de disco em um sistema Linux (2.4)?

score 3 · Answer 1

É um risco depender de um terceiro (Apple ou MacPorts) para manter sua pilha de software atualizada para conformidade com PCI. Aprenda a compilar os componentes você mesmo e instale-os fora de onde a Apple: isso irá protegê-lo contra atualizações de software mal escritas (como o recente erro de atualização Apple Perl / CPAN) de danificar ou reverter sua instalação. Desative o Apache e o MySQL da Apple e ative o seu.

Revise as compilações em opensource.apple.com e www.macports.org para orientação. Bloqueie o software que você não pode / não deve atualizar (como o Kerberos) usando o firewall do sistema operacional e com um firewall de rede.

Considere:

cd /usr/local/src/

tar -xf mysql-5.0.83.tar
cd mysql-5.0.83
./configure --prefix=/usr/local/mysql --enable-local-infile --enable-shared --enable-thread-safe-client --with-extra-charsets=complex
make clean     
make && make install

tar -xf httpd-2.2.11.tar
cd httpd-2.2.11
./configure --prefix=/usr/local/apache2 --enable-mods-shared=all 
make clean
make && make install

tar -xf php-5.2.10.tar
cd php-5.2.10
./configure --prefix=/usr/local/php-x --enable-dbase --enable-ftp --enable-mbstring --enable-xml --enable-zip --with-apxs2=/usr/local/apache2/bin/apxs

...

/Library/LaunchDaemons/com.your.httpd.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>EnvironmentVariables</key>
<dict>
<key>DYLD_LIBRARY_PATH</key>
<string>/usr/local/apache2/lib</string>
</dict>
<key>Label</key>
<string>com.you.httpd</string>
<key>OnDemand</key>
<false/>
<key>ProgramArguments</key>
<array>
<string>/usr/local/apache2/bin/httpd</string>
<string>-D</string>
<string>FOREGROUND</string>
</array>
</dict>
</plist>

/Library/LaunchDaemons/com.your.mysqld.plist

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>KeepAlive</key>
<true/>
<key>Label</key>
<string>com.your.mysqld</string>
<key>Program</key>
<string>/usr/local/mysql/bin/mysqld_safe</string>
<key>RunAtLoad</key>
<true/>
<key>UserName</key>
<string>_mysql</string>
<key>WorkingDirectory</key>
<string>/usr/local/mysql</string>
</dict>
</plist>

score 1 · Answer 2

Você pode baixar o PHP 5.2.9 do MacPorts aqui: link (é o Terceiro abaixo), e pode baixar o MySQL 5.1.35 (que é 26 versões secundárias mais novas que 5.1.9) diretamente do MySQL aqui: link

Eu não posso dizer o número de versão exato do Kerberos 5 incluído no 10.5.7, mas a última versão diretamente do MIT é 1.7. Você teria que compilar a partir do código-fonte, e eu não sei o que faria com a versão interna da Apple, então certifique-se de experimentar qualquer uma das opções acima em um servidor de laboratório / teste antes de atualizar sua caixa de produção. / p>