我们运行 Ubuntu Lucid 10.0.4 作为我们 LAMP 环境的基础。我们正在努力成为 PCI 兼容的,以便我们可以通过我们的服务器传递 CC 信息。我们在我们的服务器上运行了一些第三方扫描以开始认证过程,并且遇到了关于 PHP 5 版本和 Apache 版本的错误。我们官方 lucid 存储库中托管的最新 PHP 版本比 PCI 合规性要求低约 10 个版本。
我们如何升级以跟上 PCI 合规性要求?
我们需要从 php 5.3.2 升级到 php 5.3.15
以及最高 apache 2.2.23
我已经广泛搜索了答案,但还没有提出一个现实的答案。一些人建议手动编译——这听起来像一场噩梦,而另一些人建议使用 PPA——这听起来不安全。我们应该做什么?
企业 Linux 发行版通过将安全修复程序从新版本反向移植到发行版锁定的原始版本来解决这个问题。您安装包含向后移植的安全修复程序的更新系统包,并在您向合规性供应商的报告中注明这一点。
您收到的每份潜在安全漏洞报告都应包含一个 CVE 编号。在Ubuntu 安全声明中查找此编号(另请参阅适用于 RHEL/CentOS 的Red Hat CVE)以确定您的系统需要的更新。
附带说明一下,如果您运行的是基于 PHP 的网站,除了安全修复之外,您通常还需要错误修复更新。发行版几乎从不分发错误修复更新,除非它们会导致崩溃或安全问题,有时甚至不会。在这种情况下,使用跟踪所需 PHP 版本(例如 5.3 或 5.4)的 PPA 而不是系统包通常更明智。