不符合 PCI 合规性 - 远程 SMTP 服务器存在缓冲区溢出漏洞

不符合 PCI 合规性 - 远程 SMTP 服务器存在缓冲区溢出漏洞

嘿伙计们,我已经尝试允许扫描仪 IP 通过 IPTABLES 接受到 SMTP 端口,但扫描仍然失败。

这是错误:远程 SMTP 服务器容易受到缓冲区溢出攻击。

SMTP 服务器甚至没有崩溃。我尝试在 Exim 中将 IP 列入白名单,但扫描器仍然给出该服务器,并表示该服务器容易受到开放中继攻击。这是在 CentOS cPanel/WHM 服务器上。我还启用了 SMTP 调整。

有谁知道如何解决这一问题?

谢谢

答案1

您的 PCI 扫描服务的结果可能是误报,尽管很难判断。他们很可能匹配了您的 SMTP 程序的版本号(通常在连接到端口 25 时公布),并根据已知易受攻击的软件列表检查了该产品和版本号。然后找到了匹配项。

由于您使用的是 Centos,因此您需要做的是浏览 SMTP 服务的 RPM 版本的整个修订历史,寻找指定安全修复的变更日志。很有可能非常好RedHat 已将缓冲区溢出漏洞移植到旧版本中,但您需要回溯才能确定。完成后,您可以将其标记为误报。

安全补丁的反向移植是使用具有支持合同的 Linux 的主要好处之一。Centos 也是一样,但您无需打电话咨询任何内容,您只需要获得安全补丁即可。

答案2

只是 @sysadmin1138 的一个扩展,但您需要找到他们为该漏洞提供的 CVE 编号(可能是 CVE-200something-numbers)。在 Google 上搜索该漏洞,然后单击任何显示“RedHat”、“CentOS”或甚至“Fedora”的链接。该页面将告诉您是否已解决该问题以及在哪些版本中已解决该问题。对照此检查您的 Exim 版本,然后向 ASV 解释您的发现,ASV 会将其标记为误报。

您可能不太走运,因为它是 CPanel(如果我没记错的话,它不使用标准存储库)。

答案3

仅根据连接响应中返回的版本字符串,可能出现误报。您的特定版本中可能已对其进行了修补。您没有提到您使用的扫描仪,但它可能实际上并没有尝试利用缓冲区溢出 - 它只是根据版本和漏洞数据库来判断所见内容。

** 编辑:这是不正确的 - 抱歉:此外 - 我上次阅读规范(大约 3 年前)时,PCI 合规性并不意味着您必须通过任何特定漏洞扫描工具的测试 - 它只要求您有适当的程序来定期扫描和解决问题,以及管理控制以确保发生这种情况。**

我刚刚查看了最新的文件,现在似乎需要使用符合要求的 ASV 进行扫描。我可能记错了,也可能情况变了,但无论如何,你只能选择外部公司。

您真的没有通过 PCI 审计吗?或者这只是一个声称是“符合 PCI 标准”的扫描仪的服务。附注 - 您读过 PCI 的相关部分吗?如果没有,您应该读一读 - 情况并没有那么糟糕。

无论扫描仪告诉您什么,它都应该为您提供来自某个可公开访问的漏洞数据库的漏洞参考编号。阅读该编号,然后验证您安装的软件包是否修补了该特定漏洞,然后记录该事实,然后继续。

如果您付费让外部审计公司为您准备 PCI 审计,而他们没有向您提供这些详细信息,您应该向他们索取 - 如果他们不提供,请自己运行 nessus,它会告诉您。

开放中继是正确的 - 外部扫描服务假定它对您的网络的视图与互联网的其余部分相同。如果您将其列入白名单,则允许它进行中继,并假定其他所有人也是如此。如果端口 25 通常对公众是屏蔽的,那么您应该将其屏蔽以进行扫描 - 这是您安全的一部分。

答案4

缓冲区溢出通常会导致运行相关守护进程的用户帐户被盗用。缓冲区溢出有时会导致拒绝服务,但通常不是,而且在进一步研究后,通常会最终导致系统级入侵。如果真的是问题,那么这可能是个大问题。我会根据它对我的基础设施的影响程度和占用空间大小将其排在中到高之间。

你需要验证两个核心的事情:

  • 扫描仪应该能够识别出所讨论的确切漏洞。研究它并尝试重现/验证该漏洞。
  • 扫描器应确定用于确定漏洞的确切方法,这通常是确定合法性的最简单方法。如果是误报,则应非常清楚所使用的方法以及据称属于范围的漏洞。

我发现 Scan Alert(现为 McAfee)很少产生误报。除非您的认可扫描仪供应商有误报历史,否则我会认为这是一个合法的漏洞,直到您证明否则。

如果存在漏洞,则应该很容易找到适合您的发行版的受支持补丁。

相关内容