Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1725 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

8.302 release

vannyx
hello everyone i see a 8.302 soft release listed in a sticky. 

does this release have the apache 2.22 patch that will allow astaro to pass a pci scan ? 

ive emailed support and they said it would be out today and they have not answered me yet. 

I have two devices that expire in 5 days and if i dont have this patch management wont allow me to renew it as it doesn't comply with PCI. 

any useful information on the patch would be helpful.


This thread was automatically locked due to age.
Parents
  • 0
    pci scans aren't useful in the case of a hardened apache on a firewall.  the pci scans only go by version number and do not take into account the security hardening that vendors put into the installed versions.  What you need to do is get someone who knows the internals(like a partner) to talk to the auditor..this is something that can be worked around with a knowledgeable partner and an intelligent auditor.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Hey Vannyx,

    Second William's comment. I see this topic routinely come up on the CentOS Linux mailing list and they have similar issues as the upstream vendor they recompile from routinely back-ports patches into earlier versions of certain services.

    PCI scans only indicate to the scanner that there is a possible security risk. It's up to the human behind the scan to be aware of this and verify the system is correctly patched.

    [rant]
    The best advice I heard on that list was, if your PCI auditing firm is dumb enough only go based on the scans, you really should be looking for another firm. I know of firms out there that do PCI audting and don't have a single IT person on staff, the 'auditor' is an accountant who dabbles in IT. Not to knock accountants, I worked in the field briefly, but to do this properly you need an IT background, preferably one in security.[;)]
    [/rant]
Reply
  • 0 in reply to William Warren
    Hey Vannyx,

    Second William's comment. I see this topic routinely come up on the CentOS Linux mailing list and they have similar issues as the upstream vendor they recompile from routinely back-ports patches into earlier versions of certain services.

    PCI scans only indicate to the scanner that there is a possible security risk. It's up to the human behind the scan to be aware of this and verify the system is correctly patched.

    [rant]
    The best advice I heard on that list was, if your PCI auditing firm is dumb enough only go based on the scans, you really should be looking for another firm. I know of firms out there that do PCI audting and don't have a single IT person on staff, the 'auditor' is an accountant who dabbles in IT. Not to knock accountants, I worked in the field briefly, but to do this properly you need an IT background, preferably one in security.[;)]
    [/rant]
Children
No Data
Cookie Information Banner