Если Вы принимаете кредитные карты, да, абсолютно, и не только покупаете сертификат, но и уверены, что устанавливаете его правильно и пишете хороший, безопасный код.
Если Вы просто начинаете, намного лучше для использования платежного шлюза (PayPal, Authorize.net, и т.д.), который предлагает услугу, где они делают фактическую платежную операцию на своем сервере.
Результат Вашего сервиса сканирования PCI вероятен положительная ложь, хотя может быть трудно сказать. Возможности, они соответствовали номеру версии Вашей программы SMTP, о нем обычно объявляют на соединении с портом 25 и проверил что номер продуктов и номер версии против списка известных - уязвимое программное обеспечение. И найденный соответствием.
Так как Вы находитесь на Centos, вещь, которую необходимо сделать, проходят всю историю пересмотра выпусков об/мин сервиса SMTP, ища журнал изменений, который указывает исправления безопасности. Возможности очень хороши, что Redhat бэкпортировал уязвимость переполнения буфера в более старый пересмотр, но необходимо отследить в обратном порядке, чтобы быть бесспорными. После того как это сделано, можно отметить это как положительную ложь.
Бэкпортирование патчей безопасности является одним из основных преимуществ использования Linux с контрактом на поддержку. Centos является тем же самым, но Вы не добираетесь для призыва о чем-либо, что Вы просто получаете патчи безопасности.
Просто расширение @sysadmin1138, но необходимо найти число CVE, они предусмотрели уязвимость (вероятный CVE-200something-numbers). Google для той уязвимости и нажимает на любую ссылку, в которой говорятся "Redhat", "CentOS" или даже при нажатии "Fedora". Та страница скажет Вам, если она была разрешена, и в которых версиях она была разрешена. Проверьте свою версию Exim против этого и затем объясните Ваши результаты ASV, кто отметит его, была положительная ложь.
Вы могли бы быть неудачными с ним являющийся CPanel (и не использующий стандартные репозитории, если я правильно помню).
Вероятно, ложь, положительная базирующийся только на строке версии, возвращенной в ответе соединения. Это было, вероятно, уже исправлено в Вашей конкретной версии. Вы не упомянули, какой сканер Вы используете, но он, вероятно, на самом деле не пытался использовать переполнение буфера - он просто основывает то, что он видит на базе данных версий и уязвимостей.
** РЕДАКТИРОВАНИЕ: ЭТО НЕПРАВИЛЬНО - ИЗВИНИТЕ: Также - в прошлый раз я считал спецификации (приблизительно 3 года назад), соответствие PCI не означает, что необходимо пройти какие-то конкретные тесты инструмента сканирования уязвимости - оно только требует, чтобы Вы имели в распоряжении процедуры, чтобы сделать регулярное сканирование и решить проблемы и административное управление, чтобы гарантировать, что это происходит. **
Я просто рассмотрел последние документы, и сканирование совместимым ASV, кажется, теперь требуется. У меня может быть misremembered, или он, возможно, изменился, так или иначе, Вы застреваете с внешней компанией.
Вы на самом деле приводили аудит PCI к сбою, или это - просто сервис, который утверждает, что был "PCI Совместимый" сканер. Примечание стороны - Вы считали revelant разделы PCI? В противном случае Вы должны - дело не в этом плохо.
Независимо от того, что сканер говорит Вам это, он должен давать Вам ссылочный номер уязвимости от некоторой публично доступной базы данных уязвимости. Дайте этому чтение и затем проверьте, исправили ли пакету, который Вы установили, ту особую уязвимость или нет, и затем документ что факт и движение.
Если Вы платите внешней аудиторской фирме для подготовки Вас к аудиту PCI, и они не предоставляют Вам эту подробную информацию, необходимо попросить их - и если они не дадут им, выполнят nessus сами, он скажет Вам.
Открытое реле корректно - внешний сервис сканера предполагает, что имеет то же представление Вашей сети как остальная часть Интернета. При белом списке его этому позволяют передать и собирается предположить, что все остальные также. Если порт 25 обычно блокируется общественности, то необходимо оставить заблокированным в целях сканирования - это - часть безопасности.
Ожидайте, какую ошибку Вы получаете, и какой сканер используется против Вашего почтового сервера? Сетчатка eEye? Nessus?
В одном предложении Вы говорите: "Это - ошибка: удаленный сервер SMTP уязвим для переполнения буфера".
... позже в Вашем вопросе Вы говорите, что "Я попробовал белый список IP в Exim, но сканер все еще дает сервер и говорит, что сервер уязвим для открытия реле".
Это - два совершенно других результата сканера... добавляющие IP сканера в белый список в Exim, на самом деле сделал бы Вашу проблему хуже, не лучше. При белом списке IP сканера он будет думать, что может открыть реле через SMTP, который является типичной проблемой с серверами SMTP, которые используют в своих интересах спаммеры.
Переполнение буфера, как правило, приводит к компромиссу учетной записи для пользователя, выполняющего рассматриваемого демона. Переполнение буфера иногда является Отказом в обслуживании, но обычно не и часто заканчивает тем, что было системным компромиссом уровня после того, как дальнейшее исследование будет проведено. Если на самом деле проблема, это может быть грандиозным предприятием. Я оценил бы его между носителем и высокий зависящий, где это касается моей инфраструктуры и размера места.
Вы испытываете необходимость для проверки двух базовых вещей:
Я нашел с Предупреждением Сканирования (теперь, McAfee) редко производят ложные положительные стороны. Если у Вашего Утвержденного Поставщика Сканера нет истории ложных положительных сторон, я предположил бы, что это - законная уязвимость, пока Вы не доказываете иначе.
Если уязвимый, должно быть достаточно легко определить местоположение поддерживаемого патча для Вашего распределения.