Уязвимости на основе CPE для соответствия требованиям Azure PCI для Microsoft IIS httpd 10.0

Привет, мое лазурное веб-приложение (dotnet core 3.1) давало зеленый флаг для соответствия PCI до нескольких дней. Однако я получил электронное письмо от сертификации, в котором говорилось, что приложение больше не совместимо с PCI, со следующими двумя сообщениями.

Название: Уязвимости на основе CPE для Microsoft IIS httpd 10.0 Воздействие. Обнаружена одна или несколько уязвимостей, влияющих на эту службу. Дополнительные сведения см. в соответствующих CVE.

Решение. Примените последние исправления поставщиков к службе Microsoft IIS httpd 10.0, работающей на портах 80 и 443.

CVE ----------------| Счет

CVE-2008-4301 10.0

CVE-2008-4300 5.0

CVE-2013-2566 4.3

CVE-2015-2808 4.3

Это сбивает с толку, поскольку не было внесено никаких изменений ни в веб-приложение, ни в настройки Azure. Решение, которое они предложили, состоит в том, чтобы применить последние исправления поставщиков к Microsoft IIS, что, я думаю, возможно только тогда, когда приложение работает на виртуальной машине, тогда как мое приложение представляет собой простую службу приложений Azure.

Какого поставщика PCI Compliance вы используете? Скажите им, что они уволены, и найдите кого-нибудь другого, кто сертифицирует ваш проект. Могу поспорить, что они полностью основывают свое решение на заголовке ответа Server: HTTP.

Dai 20.12.2020 13:03

@Dai Я использую securitymetrics.com

Max 20.12.2020 13:04

Глядя на первую «уязвимость», CVE-2008-4301: nvd.nist.gov/vuln/detail/CVE-2008-4301 — это непроверенная уязвимость в ActiveX, о которой сообщалось в 2008 году, которая, безусловно, не актуальна сегодня — даже если была уязвимость, ActiveX мертв во всех основных и современных веб-браузерах.

Dai 20.12.2020 13:06

@ Дай, да, я видел, что CVE-2008-4301 является спорной «уязвимостью», я думал написать в метрики безопасности, хотел подтвердить, не пометили ли они мое приложение ошибочно. Это 12-летняя уязвимость, и, похоже, она не имеет никакого смысла.

Max 20.12.2020 13:10

@Max, у нас та же проблема с тем же ASV (метрикой безопасности), который говорит мне, что Microsoft должна исправлять IIS, и что они не контролируют то, что проходит, а что нет (это ложь), и что они не отправят ложноположительный результат без плана исправления от Microsoft (удачи в этом). У меня есть входной билет с Azure. SM также упомянул, что остальные 3 CVE не пройдут проверку независимо от того, является ли CVE-2008-4301 неподтвержденной (минимальный проход > 4.2).

Scott Lance 12.01.2021 22:34
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
В предыдущей статье мы завершили установку базы данных, для тех, кто не знает.
Как установить LAMP Stack 1/2 на Azure Linux VM
Как установить LAMP Stack 1/2 на Azure Linux VM
В дополнение к нашему предыдущему сообщению о намерении Azure прекратить поддержку Azure Database для MySQL в качестве единого сервера после 16...
2
5
793
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Мы также используем показатели безопасности для сканирования наших веб-сайтов. Мы позвонили им сегодня днем ​​по этому же вопросу. Они попросили нас отправить им снимок экрана с нашей страницей версии диспетчера IIS, чтобы они могли убедиться, что мы используем текущую версию для нашей версии. Они добавят это на вкладку «Ложные срабатывания» в разделе «Сканирование уязвимостей» нашей учетной записи.

Вам нужно будет вызвать в их службу поддержки по номеру 801-705-5700, чтобы они помогли вам настроить ложные срабатывания (исключения). Они зададут несколько вопросов относительно вашей учетной записи, чтобы убедиться, что вы работаете в компании, а также номер обратного звонка, имя, должность.

Обновление: проблема была ложным флагом, как подозревали, и Security Metrics исправили ее, как только я связался с ними. У всех, у кого возникла такая же проблема, следуйте совету @user5758387 и свяжитесь с Security Metrics.

Max 14.02.2021 18:44

Другие вопросы по теме