客户端进行了由SecurityMetrics完成的PCI扫描,现在由于SMTP端口25(和POP3s / IMAPS)的SSL证书与扫描的域不匹配而导致失败。 特别: 说明:具有错误主机名的SSL证书 Synoposis:此服务的SSL证书适用于不同的主机。 影响:此服务上提供的SSL证书的commonName(CN)是针对其他计算机的。 邮件服务器使用sendmail(已打补丁)并为多个域提供电子邮件服务。 服务器本身有一个有效的SSL证书,但它不匹配每个域(因为随着客户端移动,我们随时添加/删除域)。 似乎SecurityMerics是唯一一个标志为失败的PCI的ASV。 Trustwave,McAfee等等,不要把这看成是失败的PCI。 这个问题真的是PCI故障吗? 还是只是SecuritMetrics被错误?
由于PCI规定,我们需要停止使用(不安全的)SSL重新协商我们提供的一系列电子商务网站。 有没有人知道这样做的影响,假设我们不启用安全重新谈判? SSL会在需要时重新build立连接吗? 我认为这会增加CPU负载,但会有其他问题吗?
我对ASV季度外部漏洞扫描的PCI DSS要求有疑问,特别是我需要在这些扫描中包含哪些公有IP。 该组织是一个零售连锁店(这些问题涉及实体部分 – 而不是他们的电子商务)。 除了内部业务需求外(如2FA远程访问等),任何实体场所都没有面向公众的服务。 我的问题: 1)某些地点有外部负载均衡器,多条互联网线路连接到不同的ISP。 所有这些互联网线路都映射到外围防火墙的相同外部接口,因此受到完全相同的防火墙规则的pipe理。 那么从安全的angular度来看,扫描其中一个IP就足够了,但是每个PCI DSS 3.0(或2.0)都允许这样做吗? 2)有MPLS路由器,它们具有公共IP,但是它们不能从MPLS之外到达。 他们需要扫描吗? (3)有为MPLSnetworking提供备份VPN的路由器,这些VPN具有只接受来自MPLSnetworking的连接的公网IP(不ping,所有端口都被过滤)。 他们需要扫描吗? 4)将公共IP映射到内部pipe理入侵检测系统(IDS)设备,只有我们的IDS提供者才能访问(通过外围防火墙的IP和端口限制以及IDS设备的安全性)。 他们需要扫描吗?
由于PCI-DSS现在要求禁用TLSv1来通过我们的networking扫描,所以我有以下问题。 运用 Kerio连接邮件服务器(www.kerio.co.uk) 苹果邮件(优胜美地一路下到雪豹) iOS 8设备 如果我禁用邮件服务器上的TLSv1,则我的邮件客户端都不能使用端口993上的IMAPS进行连接 – 它们只是错误。 在优胜美地的邮件日志中似乎没有任何输出,要么真的走了。 我已经在苹果论坛发布了这个,也有其他人也发现这一点。 https://discussions.apple.com/thread/7043841 所以问题: 有没有人有苹果电子邮件与TLSv1禁用的邮件服务器通话。 有没有人有iOS与TLSv1禁用的邮件服务器通话。 苹果邮件甚至支持TLSv1.1吗? 提前致谢。
PCI扫描告诉我停止使用TLS 1.0进行电子邮件。 我使用的是后缀,所以我禁用了TLS 1.0,1.0的所有stream量都停止了。 然后第二天,我看着日志,我看到很多这个… connect from 66-220-155-139.outmail.facebook.com[66.220.155.139] SSL_accept error from 66-220-155-139.outmail.facebook.com[66.220.155.139]: -1 warning: TLS library problem: error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:640: lost connection after STARTTLS from 66-220-155-139.outmail.facebook.com[66.220.155.139] disconnect from 66-220-155-139.outmail.facebook.com[66.220.155.139] 我联系了一些服务器的pipe理员。 打开我们我们都使用机会TLS,但我们没有一个共同的TLS协议,他们支持1.0,我支持1.2。 经过一番googleing后,我认为这个问题是在尝试协商TLS失败之后无法恢复为未encryption的问题。 所以我的问题是。 你如何configuration后缀只尝试未encryption的电子邮件与修复列表的IP地址/域?
我的客户正在validation他们的网站,以便接受网站上的信用卡支付,其中一个失败是我们正在泄漏内部IP地址,但是我们正在使用IIS 7.0,我以为没有这样做。 我自己检查了标题,看不清问题在哪里: HTTP/1.1 302 Found Content-Type: text/html Location: https://www.pirform.co.uk/Purchase.aspx Server: Microsoft-IIS/7.0 X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT Content-Length: 156 HTTP/1.1 200 OK Cache-Control: private Content-Type: text/html Server: Microsoft-IIS/7.0 Set-Cookie: ASP.NET_SessionId=n4cf1m3qmmocof45bxwpwe55 X-AspNet-Version: 2.0.50727 X-Powered-By: ASP.NET Date: Tue, 03 Aug 2010 08:21:08 GMT Content-Length: 12015 任何想法他们可以谈论?
我已经find服务器故障这个问题: 服务器故障问题 但是没有答案。 有没有人有任何build议如何解决这个问题? 我们正在运行2003 Server R2 Ent,应用了最新的Service Pack,IIS 6.0 以下是合规公司所说的内容: 简介:这个Web服务器通过HTTP标头泄漏一个私有IP地址。 说明:这可能会暴露内部IP地址通常隐藏或隐藏在networking地址转换(NAT)防火墙或代理服务器之后。 Microsoft IIS 4.0在默认configuration中执行此操作时存在已知问题。 这也可能会影响其他Web服务器,Web应用程序,Web代理,负载平衡器以及各种与redirect有关的错误configuration。 另请参阅: http : //support.microsoft.com/support/kb/ articles / Q218 / 1 / 80.ASP 有任何想法吗? 谢谢
我们已经符合PCI约4个月,然后突然出现: 失败 严重 港口:21 协议:tcp 总结:尝试一些缓冲区溢出 CVSS Base Score:10.0(CVSS2#AV:N / AC:L / Au:N / C:C / I:C / A:C) CVSS时间分数:8.3(CVSS2#E:F / RL:OF / RC:C) 公开漏洞可用:true CVE:CVE-1999-0219,CVE-2000-0870,CVE-2000-0943,CVE-2000-1035,CVE-2000-1194, CVE-2002-0126,CVE-2003-0271,CVE-2005-0634,CVE-2005-1415 BID:269,1227,1675,1690,1858,3884,7251,7278,7307,12704,13454 服务器上有cPHulk Brute Force Protection,FTP用户需要使用SFTP。 我不明白我怎样才能保证这一点比我有…我不想改变我的暴力保护设置,因为它目前只是丢弃用户,并没有给他们任何消息,恐怕这就是正在发生。 审计公司是Trust Guard; 有没有人有任何build议或有任何人有类似的经验?
我们的一个Web服务器只是因为漏洞扫描检测到的操作系统是Windows Server 2003 Service Pack 1(显然非常过时!)而失败了PCI-DSS合规性。 我的问题是,如何vuln扫描检测到这一点,因为我似乎无法find一种方式来获取相同的信息,没有AD访问该框(它是在服务提供商networking)。 即使使用nmap,它也只能提供操作系统版本的猜测: Aggressive OS guesses: Microsoft Windows Server 2003 SP1 or SP2 (99%) 那么在向我们的提供商发送非常非常愤怒的电子邮件之前,我该如何validation呢? 如果这是准确的,那么我会说这是疏忽,我的电子邮件语气不会很好。 我没有login访问此框。
我有一台运行Ubuntu 8.04的服务器,目前是符合PCI-DSS的。 最新的安全扫描带来了问题CVE-2009-0796 这需要安装libapache2-mod-perl2(2.0.4-6ubuntu1)的版本,这个版本在Ubuntu的hardy版本库中是不可用的。 没有更新基本服务器版本,什么是最好的解决scheme?