У нас есть OpenSSL 1.1.1d, установленный на 64-разрядном сервере Windows с Apache 2.4.*. Все работало нормально до недавнего времени (январь 2020 г.), когда наше ежедневное сканирование PCI завершилось неудачей со следующим кратким описанием: удаленная служба подвержена множественным уязвимостям. Очевидно, что для меня было естественным сделать обновление до самой последней версии OpenSSL, и когда я проверил https://www.openssl.org/ Я обнаружил, что 1.1.1d является последней версией, но все же переустановил ее на всякий случай. Это ничего не изменило, сканирование все равно не удалось.
В отчете о сканировании внизу был длинный абзац с более подробной информацией о воздействии, этот текст привлек мое внимание...
*"OpenSSL versions 1.1.1, 1.1.0 and 1.0.2 are affected by this issue. Due to the limited scope of affected deployments this has been assessed as low severity and therefore we are not creating new releases at this time".*
Может ли кто-нибудь помочь мне понять, что мне нужно сделать, чтобы остановить этот сбой? Я посмотрел в Интернете, и никто не сообщает о проблеме в том же контексте, что и я. Пожалуйста помоги!
ОБНОВЛЕНИЕ ВОПРОСА - ДОБАВЛЕН ПОЛНЫЙ ССЫЛОЧНЫЙ ПАРАГРАФ
Это ложное срабатывание. Вам необходимо подать диспут с продавцом, показав ему, что версия 1.1.1d не имеет уязвимости, обнаруженной в других версиях. У всех поставщиков сканирования PCI есть процесс оспаривания ложных срабатываний. Если они согласятся с результатами вашего спора, они уберут уязвимость из вашего отчета. Они должны решить эту проблему для вас быстро. Отправьте им https://www.openssl.org/news/secadv/20190910.txt и доказательство фактической версии, которая у вас есть.