TrustWave在扫描中容纳CentOS变得更好一些 – 我现在至少可以在提出争议时选择“我有后向软件”.但他们仍然提供出色的工作保障,每个月需要花费数小时的精心指点和点击他们的网站.
现在问我的问题. CVE-2016-10009尚未被RHEL人员修补,CentOS有no direct fix available.在TrustWave对我最初的争议的回应中有这样的说明:
Since this finding affects PCI DSS Compliance,it does need to be confirmed to have been addressed in some fashion. The requirements as listed within the scan report are to upgrade the system or utilize the compensating controls mentioned (such as never loading PKCS#11 modules from paths outside a trusted whitelist (run-time configurable)).
最新的OpenSSH补丁已修复后向移植到OpenSSH 7.3,我不清楚是否会解决此特定漏洞.
提到的“补偿控制” – 仅允许列入白名单的模块 – 正好是7.4中的修复,因此这没有帮助,并且扫描报告没有列出任何内容.
因此,我正在寻找能够满足扫描仪的配置更改,但我找不到.
Here is a decent explanation的问题.
有什么我可以做的吗?完全禁用PKCS#11?