嘿家伙,我已经尝试允许扫描器IP通过IPTABLES接受到SMTP端口,但扫描仍然失败。
这是错误:远程SMTP服务器容易受到缓冲区溢出。
SMTP服务器甚至不会崩溃。 我已经尝试在Exim中列出IP,但扫描仪仍然给服务器,并说服务器易受开放中继。 这是在CentOS cPanel / WHM服务器上。 我也启用了SMTP调整。
有谁知道如何解决这一问题?
谢谢
您的PCI扫描服务的结果可能是误报,尽pipe可能很难说。 它们可能与您的SMTP程序的版本号相匹配,通常在连接到端口25时宣布,并且将该产品和版本号与已知易受攻击的软件列表进行核对。 并find一个匹配。
由于您使用的是Centos,因此您需要执行SMTP服务的RPM版本的整个修订历史logging,查找指定安全修复程序的更改日志。 RedHat已经将缓冲区溢出漏洞反向移植到旧的版本中,但是你需要回溯到确定的机会。 一旦完成,您可以将其标记为误报。
安全补丁的反向移植是使用Linux与支持合同的主要好处之一。 Centos是同样的事情,但是你不必接触任何你刚刚获得安全补丁的东西。
只是对@ sysadmin1138的扩展,但是你需要find它们为漏洞提供的CVE号码(可能是CVE-200something-numbers)。 谷歌针对该漏洞,并点击任何说“RedHat”,“CentOS”,甚至推“Fedora”的链接。 该页面会告诉你它是否已经解决,以及在哪个版本中解决。 检查你的Exim版本,然后向ASV解释你的发现,ASV会将其标记为误报。
你可能会觉得它不是CPanel(如果我没有记错的话,不要使用标准的存储库)。
可能仅基于连接响应中返回的版本string的误报。 它可能已经被修补在你的特定版本。 你还没有提到你使用哪种扫描器,但它可能并没有试图利用缓冲区溢出 – 它只是基于它在版本和漏洞数据库上看到的东西。
**编辑:这是不正确的 – 抱歉:另外 – 我上次阅读规范(约3年前)PCI合规性并不意味着你必须通过任何特定的漏洞扫描工具的testing – 它只需要你有程序定期扫描和解决问题,并进行pipe理控制以确保发生。 **
我刚刚查看了最新的文档,现在需要通过兼容的ASV进行扫描。 我可能会误解,或者它可能已经改变了,你被困在外面的公司。
你是否真的失败了PCI审计,或者这只是一个声称是“PCI兼容”扫描仪的服务。 旁注 – 你读过PCI的相关部分吗? 如果没有,你应该 – 这不是那么糟糕。
不pipe扫描器告诉你什么,它应该给你一个来自一些可公开访问的漏洞数据库的漏洞引用号。 仔细阅读,然后validation你已经安装的软件包是否具有特定的漏洞补丁,然后logging下这个事实,然后继续。
如果你要支付一家外部审计公司来为你进行PCI审计做准备,而且他们没有给你这些细节,你应该问问他们 – 如果他们不给他们,你自己来运行一下nessus,它会告诉你的。
开放中继是正确的 – 外部扫描器服务假定它具有与互联网其余部分相同的networking视图。 如果您将其列入白名单,则允许转播,并假定其他人也是。 如果端口25通常被公开阻止,那么为了扫描的目的,您应该将其阻塞,这是您安全的一部分。
等待您收到哪个错误,以及针对您的邮件服务器使用了哪种扫描程序? eEye视网膜? Nessus的?
用一句话说:“这是错误:远程SMTP服务器容易发生缓冲区溢出。”
…后来在你的问题中,你说:“我已经尝试在Exim中列出IP,但扫描器仍然给服务器,并说服务器易受开放中继的影响。
这是两个完全不同的扫描仪发现…在Exim中将扫描器IP列入白名单实际上会使您的问题变得更糟,而不是更好。 如果您将扫描器的IP列入白名单,它会认为它可以通过SMTP打开中继,这是垃圾邮件发送者利用的SMTP服务器的常见问题。
缓冲区溢出通常会导致运行守护进程的用户受到损害。 缓冲区溢出有时会拒绝服务,但通常不会,并且在进一步研究完成之后,通常最终会导致系统级的妥协。 如果真的有问题,这可能是一个大问题。 我会根据接触我的基础设施和占地面积的大小,将其排在中等和高位之间。
你将需要validation两个核心的东西:
我发现Scan Alert(现在的McAfee)很less产生误报。 除非您的Approved Scanner Vendor有误报logging,否则我会认为这是一个合法的漏洞,除非您certificate不正确 。
如果易受攻击,应该很容易为您的发行版find受支持的修补程序。