CentOS,OpenSSH,PCI,CVE-2016-10009

前端之家收集整理的这篇文章主要介绍了CentOS,OpenSSH,PCI,CVE-2016-10009前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
TrustWave在扫描中容纳CentOS变得更好一些 – 我现在至少可以在提出争议时选择“我有后向软件”.但他们仍然提供出色的工作保障,每个月需要花费数小时的精心指点和点击他们的网站.

现在问我的问题. CVE-2016-10009尚未被RHEL人员修补,CentOS有no direct fix available.在TrustWave对我最初的争议的回应中有这样的说明:

Since this finding affects PCI DSS Compliance,it does need to be confirmed to have been addressed in some fashion. The requirements as listed within the scan report are to upgrade the system or utilize the compensating controls mentioned (such as never loading PKCS#11 modules from paths outside a trusted whitelist (run-time configurable)).

最新的OpenSSH补丁已修复后向移植到OpenSSH 7.3,我不清楚是否会解决此特定漏洞.
提到的“补偿控制” – 仅允许列入白名单的模块 – 正好是7.4中的修复,因此这没有帮助,并且扫描报告没有列出任何内容.

因此,我正在寻找能够满足扫描仪的配置更改,但我找不到.
Here is a decent explanation的问题.
有什么我可以做的吗?完全禁用PKCS#11?

这是一个漏洞,如果客户端已与ssh-agent转发连接,恶意ssh服务器可以攻击客户端,并且以某种方式在客户端的文件系统上安装了恶意文件.

我也认为TrustWave过分估计了这个问题的重要性.

也就是说,明显的解决方法是在/ etc / ssh / sshd_config中禁用代理转发.

AllowAgentForwarding no

请记住,如果服务器遭到入侵,攻击者可以将其删除,然后等待不幸的管理员与其代理连接.所以这是一种荒谬的解决方法.

猜你在找的CentOS相关文章