现在问我的问题. CVE-2016-10009尚未被RHEL人员修补,CentOS有no direct fix available.在TrustWave对我最初的争议的回应中有这样的说明:
Since this finding affects PCI DSS Compliance,it does need to be confirmed to have been addressed in some fashion. The requirements as listed within the scan report are to upgrade the system or utilize the compensating controls mentioned (such as never loading PKCS#11 modules from paths outside a trusted whitelist (run-time configurable)).
最新的OpenSSH补丁已修复后向移植到OpenSSH 7.3,我不清楚是否会解决此特定漏洞.
提到的“补偿控制” – 仅允许列入白名单的模块 – 正好是7.4中的修复,因此这没有帮助,并且扫描报告没有列出任何内容.
因此,我正在寻找能够满足扫描仪的配置更改,但我找不到.
Here is a decent explanation的问题.
有什么我可以做的吗?完全禁用PKCS#11?
我也认为TrustWave过分估计了这个问题的重要性.
也就是说,明显的解决方法是在/ etc / ssh / sshd_config中禁用代理转发.
AllowAgentForwarding no
请记住,如果服务器遭到入侵,攻击者可以将其删除,然后等待不幸的管理员与其代理连接.所以这是一种荒谬的解决方法.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。