fragen stichworte

So halten Sie die PCI-Kompatibilität auf einem LAMP-Server aufrecht, wenn Repositorys nicht mit den Versionen Schritt halten

Wir verwenden Ubuntu Lucid 10.0.4 als Grundlage unserer LAMP-Umgebung. Wir versuchen, PCI-kompatibel zu werden, damit wir CC-Informationen über unseren Server weiterleiten können. Wir haben auf unseren Servern einige Prüfungen von Drittanbietern durchgeführt, um den Zertifizierungsprozess zu starten, und es sind Fehler in Bezug auf PHP 5-Versionen und Apache-Versionen aufgetreten. Die neueste PHP-Version, die in unserem offiziellen lucid-Repository gehostet wird, liegt etwa 10 Versionen unter der PCI-Konformität.

Wie können wir ein Upgrade durchführen, um die PCI-Compliance-Anforderungen zu erfüllen?

Wir müssen von php 5.3.2 auf php 5.3.15

wechseln

Sowie bis zu Apache 2.2.23

Ich habe weit und breit nach einer Antwort gesucht und keine realistische Antwort gefunden. Einige empfehlen das manuelle Kompilieren - was wie ein Albtraum klingt, und andere empfehlen eine PPA -, die unsicher klingt. Was sollen wir machen?

antworten

Enterprise Linux-Distributionen behandeln dies, indem Sicherheits-Fixes von der neuen Version auf die Originalversion zurückversetzt werden, für die Ihre Distribution gesperrt ist. Sie installieren die aktualisierten Systempakete mit den zurückgesetzten Sicherheitsupdates und vermerken dies dem Compliance-Anbieter in Ihrem Bericht.

Jeder Bericht, den Sie über eine potenzielle Sicherheitslücke erhalten, sollte eine CVE-Nummer enthalten. Diese Nummer finden Sie in Ubuntu-Sicherheitshinweise (siehe auch Red Hat CVE für RHEL/CentOS), um die Aktualisierungen zu ermitteln, die Ihr System benötigt.

Als Nebenbemerkung möchten Sie, wenn Sie eine PHP-basierte Website betreiben, zusätzlich zu den Sicherheitsupdates häufig auch Bugfixes Updates erhalten. Die Distributoren verteilen fast nie Updates für Fehlerkorrekturen, es sei denn, sie verursachen Abstürze oder Sicherheitsprobleme und manchmal auch nicht. In diesem Fall ist es oft klüger, ein PPA zu verwenden, das Ihre gewünschte PHP-Version (z. B. 5.3 oder 5.4) anstelle der Systempakete aufzeichnet.