linux – PCI Compliance：在Ubuntu 14.04.3上安装Apache 2.4.17？

概述我有一个运行Ubuntu 14.04.3的VPS. 此版本的最新Ubuntu支持的Apache版本是Apache 2.4.7. 但我配置服务器的公司正在寻求PCI合规性,并且由于Apache 2.4.14中修补的安全漏洞而被拒绝. Apache的最新稳定版本目前是2.4.17. 在服务器上安装Apache 2.4.17是否明智/可行？我可以通过将apt-get与其他软件包存储库一起使用,还是需要从 我有一个运行Ubuntu 14.04.3的VPS.
此版本的最新Ubuntu支持的Apache版本是Apache 2.4.7.

但我配置服务器的公司正在寻求PCI合规性,并且由于Apache 2.4.14中修补的安全漏洞而被拒绝.

Apache的最新稳定版本目前是2.4.17.

在服务器上安装Apache 2.4.17是否明智/可行？我可以通过将apt-get与其他软件包存储库一起使用,还是需要从源代码构建？

解决方法 从安全角度来看,您根本不想运行Apache httpd 2.4.14甚至2.4.17,您只是不希望受​​到任何已知的Apache(或其他)安全漏洞的攻击.

通常,您已经通过在支持的Ubuntu LTS版本上定期应用安全更新来实现这一目标.

安全扫描可能检测到您的Apache版本字符串2.4.7,在具有已知漏洞(如https://nvd.nist.gov/)的数据库中快速查找,并在cvedetails.com找到类似于此列表的列表,发现CVE-2015-3185只是适用于您的最新漏洞Apache版本.

然后是无知的结论：为了“安全和顺从”,必须盲目地遵循CVE,你必须升级到Apache httpd 2.4.14或更新版本.

这并没有考虑“企业”linux发行版中“反向移植”安全更新的常见做法.后向移植的原因和过程在RedHat.com中有很好的描述,但对于Ubuntu来说是类似的. (请阅读整篇文章.)缺点是旧版本号根本不等于不安全.

CVE-2015-3185已被Ubuntu承认为USN-2686-1并已得到解决.

如果您还没有,只需安装正常的安全更新,尽管仍然保留在Apache 2.4.7版本上,但您不会受到CVE-2015-3185或之前任何CVE的攻击.

我对PCI合规认证流程并不熟悉,所以如何将上述内容翻译成认证…

可能有帮助的是this answer(尽管专注于RHEL,整个Q& A仍然很有趣)：使用以下Apache指令并将ServerTokens设置为Prod并在httpd.conf中将ServerSignature设置为Off.

总结

以上是内存溢出为你收集整理的linux – PCI Compliance：在Ubuntu 14.04.3上安装Apache 2.4.17？全部内容，希望文章能够帮你解决linux – PCI Compliance：在Ubuntu 14.04.3上安装Apache 2.4.17？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。