Неудавшееся Соответствие PCI - удаленный сервер SMTP уязвим для переполнения буфера
Если Вы принимаете кредитные карты, да, абсолютно, и не только покупаете сертификат, но и уверены, что устанавливаете его правильно и пишете хороший, безопасный код.
Если Вы просто начинаете, намного лучше для использования платежного шлюза (PayPal, Authorize.net, и т.д.), который предлагает услугу, где они делают фактическую платежную операцию на своем сервере.
Результат Вашего сервиса сканирования PCI вероятен положительная ложь, хотя может быть трудно сказать. Возможности, они соответствовали номеру версии Вашей программы SMTP, о нем обычно объявляют на соединении с портом 25 и проверил что номер продуктов и номер версии против списка известных - уязвимое программное обеспечение. И найденный соответствием.
Так как Вы находитесь на Centos, вещь, которую необходимо сделать, проходят всю историю пересмотра выпусков об/мин сервиса SMTP, ища журнал изменений, который указывает исправления безопасности. Возможности очень хороши, что Redhat бэкпортировал уязвимость переполнения буфера в более старый пересмотр, но необходимо отследить в обратном порядке, чтобы быть бесспорными. После того как это сделано, можно отметить это как положительную ложь.
Бэкпортирование патчей безопасности является одним из основных преимуществ использования Linux с контрактом на поддержку. Centos является тем же самым, но Вы не добираетесь для призыва о чем-либо, что Вы просто получаете патчи безопасности.
-
1Привет, я рассмотрел журнал изменений, и он был зафиксирован в более ранней версии. После проверки моего exim регистрируются, я нашел, что это давало СОСТОЯНИЕ, недопустимое для ошибки, которую сканер пытался генерировать так, я вошел в свой IPTABLES и проверил его, и кажется, что это отбрасывает пакеты. Я создал новое ВХОДНОЕ правило, которое делает его так, это отклонит их. Сделайте Вы думаете, что это будет работать: iptables-I ВВОДЯТ 53-p tcp - состояние dport 25-m - указывает НЕДОПУСТИМОЕ ОТКЛОНЕНИЕ-j, я добавил его к своей цепочке. Спасибо за справку и знание все. – Darren 29 August 2010 в 08:39
-
2Хорошо это не работало парни. Я оказываюсь перед необходимостью говорить, что это - положительная ложь. Я надеюсь, что они примут это. – Darren 29 August 2010 в 20:42
-
3при отбрасывании IP сканера Вы делаете результаты сканирования недопустимыми. Нельзя отфильтровать внешний трафик сканеров согласно требованиям PCI. – Warner 29 August 2010 в 21:56
-
4Мы связались с Доверительной охраной и думаем, что это - положительная ложь. Даже системные администраторы нашей хостинговой компании думают, что это - ложь, положительная, потому что они не могут воспроизвести проблему. – Darren 1 September 2010 в 19:29
Просто расширение @sysadmin1138, но необходимо найти число CVE, они предусмотрели уязвимость (вероятный CVE-200something-numbers). Google для той уязвимости и нажимает на любую ссылку, в которой говорятся "Redhat", "CentOS" или даже при нажатии "Fedora". Та страница скажет Вам, если она была разрешена, и в которых версиях она была разрешена. Проверьте свою версию Exim против этого и затем объясните Ваши результаты ASV, кто отметит его, была положительная ложь.
Вы могли бы быть неудачными с ним являющийся CPanel (и не использующий стандартные репозитории, если я правильно помню).
Вероятно, ложь, положительная базирующийся только на строке версии, возвращенной в ответе соединения. Это было, вероятно, уже исправлено в Вашей конкретной версии. Вы не упомянули, какой сканер Вы используете, но он, вероятно, на самом деле не пытался использовать переполнение буфера - он просто основывает то, что он видит на базе данных версий и уязвимостей.
** РЕДАКТИРОВАНИЕ: ЭТО НЕПРАВИЛЬНО - ИЗВИНИТЕ: Также - в прошлый раз я считал спецификации (приблизительно 3 года назад), соответствие PCI не означает, что необходимо пройти какие-то конкретные тесты инструмента сканирования уязвимости - оно только требует, чтобы Вы имели в распоряжении процедуры, чтобы сделать регулярное сканирование и решить проблемы и административное управление, чтобы гарантировать, что это происходит. **
Я просто рассмотрел последние документы, и сканирование совместимым ASV, кажется, теперь требуется. У меня может быть misremembered, или он, возможно, изменился, так или иначе, Вы застреваете с внешней компанией.
Вы на самом деле приводили аудит PCI к сбою, или это - просто сервис, который утверждает, что был "PCI Совместимый" сканер. Примечание стороны - Вы считали revelant разделы PCI? В противном случае Вы должны - дело не в этом плохо.
Независимо от того, что сканер говорит Вам это, он должен давать Вам ссылочный номер уязвимости от некоторой публично доступной базы данных уязвимости. Дайте этому чтение и затем проверьте, исправили ли пакету, который Вы установили, ту особую уязвимость или нет, и затем документ что факт и движение.
Если Вы платите внешней аудиторской фирме для подготовки Вас к аудиту PCI, и они не предоставляют Вам эту подробную информацию, необходимо попросить их - и если они не дадут им, выполнят nessus сами, он скажет Вам.
Открытое реле корректно - внешний сервис сканера предполагает, что имеет то же представление Вашей сети как остальная часть Интернета. При белом списке его этому позволяют передать и собирается предположить, что все остальные также. Если порт 25 обычно блокируется общественности, то необходимо оставить заблокированным в целях сканирования - это - часть безопасности.
Ожидайте, какую ошибку Вы получаете, и какой сканер используется против Вашего почтового сервера? Сетчатка eEye? Nessus?
В одном предложении Вы говорите: "Это - ошибка: удаленный сервер SMTP уязвим для переполнения буфера".
... позже в Вашем вопросе Вы говорите, что "Я попробовал белый список IP в Exim, но сканер все еще дает сервер и говорит, что сервер уязвим для открытия реле".
Это - два совершенно других результата сканера... добавляющие IP сканера в белый список в Exim, на самом деле сделал бы Вашу проблему хуже, не лучше. При белом списке IP сканера он будет думать, что может открыть реле через SMTP, который является типичной проблемой с серверами SMTP, которые используют в своих интересах спаммеры.
-
1Ошибка через Доверительную охрану, сервис PCI является удаленным сервером SMTP, уязвима для переполнения буфера. – Darren 29 August 2010 в 02:51
Переполнение буфера, как правило, приводит к компромиссу учетной записи для пользователя, выполняющего рассматриваемого демона. Переполнение буфера иногда является Отказом в обслуживании, но обычно не и часто заканчивает тем, что было системным компромиссом уровня после того, как дальнейшее исследование будет проведено. Если на самом деле проблема, это может быть грандиозным предприятием. Я оценил бы его между носителем и высокий зависящий, где это касается моей инфраструктуры и размера места.
Вы испытываете необходимость для проверки двух базовых вещей:
- Сканер должен определить точную рассматриваемую уязвимость. Исследуйте его и попытайтесь воспроизвести/проверить уязвимость.
- Сканер должен определить точный метод, используемый для определения уязвимости, которая обычно является самым легким способом определить законность. Если положительная ложь, должно быть довольно ясно в методах, используемых по сравнению с тем, какая уязвимость находится предположительно в объеме.
Я нашел с Предупреждением Сканирования (теперь, McAfee) редко производят ложные положительные стороны. Если у Вашего Утвержденного Поставщика Сканера нет истории ложных положительных сторон, я предположил бы, что это - законная уязвимость, пока Вы не доказываете иначе.
Если уязвимый, должно быть достаточно легко определить местоположение поддерживаемого патча для Вашего распределения.