私のシステムは、AcceptEnvのOpenSSHワイルドカードの脆弱性(CVE-2014-2532)に脆弱です。
Centos用のopensshをバージョン6.6に更新しようとしましたが、そのバージョンのリポジトリを取得できませんでした[sic]。
/編集する/ PCI-DSSコンプライアンスがこの問題の原因です。
ベストアンサー1
PCIの要件は次のとおりです。
そのソフトウェアをインストールして、すべてのシステムコンポーネントとソフトウェアが既知の脆弱性から保護されていることを確認してください。プロバイダーが提供セキュリティパッチ。
サポートされていない代替ソフトウェアバージョンをランダムにダウンロードすることは、あなたがしなければならないことではありません。
これサプライヤー対応例:
Red Hat Security Labsはこの問題を「セキュリティへの影響が低い」と評価し、将来のアップデートでこの問題を解決する可能性があります。
したがって、現在Red Hatの修正はないので、CentOSの修正もありません。
この低いリスク評価の理由は、Red HatおよびCentOSに付属のデフォルト設定にワイルドカード(*)AcceptEnv値が含まれていないためです。
これで問題は、ベンダーが提供するデフォルト値を変更したために脆弱かどうかです。それでは、カスタムAcceptEnvワイルドカードを削除/再作成してシステムを安全に戻すことはできますか?
それとも、監査人はopensshソフトウェアのバージョン番号によってのみトリガーされ、まったく脆弱ではありませんか?
後者が頻繁に発生するため...