客戶端站點的安全掃描標誌着這樣一個事實,即由於他們運行的是PHP 5.3.3,因此他們很容易受到CVE-2011-1092(5.3中修復。 6及以上)。關於CentOS/PCI DSS合規性的CVE-2011-1092
通常我會說backporting會處理這個問題,因爲他們的PHP已經被多年支持到5.3.27,但是在changelog中沒有跡象表明這個特定的CVE已經被解決了。
看https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2011-1092和https://access.redhat.com/security/cve/CVE-2011-1092指示明確,這個問題沒有在PHP隨RHEL和CentOS的版本得到解決,因爲RHEL不認爲這是一個安全問題。
這使得客戶面臨兩難困境 - 他們的PCI DSS合規掃描公司(Trustwave)不會接受RHEL關於「這不是安全問題」的陳述,稱「正在訪問[上面鏈接的RHEL頁面]以表明RedHat尚未解決CVE-2011-1092。由於此發現影響PCI DSS合規性,因此需要確認已採用某種方式進行解決。「
有沒有人有任何建議如何進行此?是否可以通過以某種方式修補文件來直接解決問題?
在此先感謝,有任何建議。
有點像扔他們香蕉? ;-) –