Ubuntu PCI-DSS合规性问题

原文

我正在尝试获得PCI兼容性,PCI扫描公司正在为CVE-2013-1635标记我们的Ubuntu 12.04 PHP 5.3.10-1ubuntu3.9.根据 http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-1635.html,Ubuntu响应是“我们不支持open_basedir的用户”,并且所有版本都被标记为忽​​略.

我不知道该怎么做.我已将我的扫描公司指向同一个网址,但他们不接受这样做并回答.

我该怎么办?

更新

我没有使用此功能,并且在PHP.ini中禁用了open_basedir指令.但是,他们认为这不是一个合适的解决方案.

以下是他们否认我的争议的回应:

We have denied this dispute based on the information provided regarding how this finding has been addressed. The version of PHP that is currently running on this system has been found to not properly sanitize user-supplied input. Despite the fact that ‘open_basedir’ is disabled on this system,an attacker can exploit this issue and write wsdl files within the context of the affected application. Also,it has been found that other attacks are also possible. As a result,the ‘soap.wsdl_cache_dir’ directive sets the directory name where the SOAP extension will place the cache files. disabling ‘open_basedir’ has not 1) removed cache files that already exist and/or 2) ceased the possibility of new cache files from being placed into an arbitrary directory.

Please review 07001 for the deFinition of a compensating control. Among other things “Compensating controls must:…Be “above and beyond” other PCI DSS requirements (not simply in compliance with other PCI DSS requirements)”,and disabling ‘open_basedir’ does not really go above and beyond,the underlying issue should really be addressed here. Again,the requirements as listed within the scan report are to upgrade the system or utilize the compensating controls mentioned (which,disabling open_basedir would not be sufficient in this case).

Any issues detected on a system that is in scope for PCI DSS compliance would need to have all PCI non-compliant issues remediated (which is any system involved in the storage,processing,and/or transmission of credit card holder data and any system directly connected to a network involved in such processes which does not have proper network segmentation in place).

Please review the scan report and follow the suggestions found underneath the “Remediation” column and then perform another scan when the vulnerability has been remediated to clear the finding from your next scan report.

If the vulnerability continues to be detected after this point and/or if you have already performed this then please feel free to re-dispute this vulnerability and explain what was performed to address the finding.

似乎怀疑Ubuntu“不支持”库存PHP配置指令,因为他们在之前( for instance)修复了它的错误.

编辑:似乎Debian和Red Hat有相同的政策,实际上 – “不支持”是不好的措辞,但所有这些发行版都认为本质上有缺陷的安全机制的缺陷不是问题.

07001

但是,这可能无关紧要.检查你的PHP.ini是否有open_basedir – 如果它不在那里,那么你完全不受这个安全问题的影响,因为这个bug是绕过open_basedir提供的安全限制.

但是,如果您的审核员对此特别不好,那么您最好的做法可能就是停止向他们展示您所使用的PHP版本 – 无论如何,版本字符串检查是进行漏洞评估的一种可怕方式.如果它是显示其版本字符串的Apache Web服务器,请将其命名为ServerSignature Off和ServerTokens Prod.

编辑他们发送给您的回复的注释…

The version of PHP that is currently running on this system has been found to not properly sanitize user-supplied input.

这个bug与清理输入没有任何关系,这是沙盒机制中的一个缺陷.

Despite the fact that ‘open_basedir’ is disabled on this system,an attacker can exploit this issue and write wsdl files within the context of the affected application.

我不是PHP内部的专家,但这似乎是对漏洞的严重误解.从我可以讲述的这个bug来看,问题是攻击者可以使用WSDL缓存机制从open_basedir根目录之外的目录位置加载WSDL(但可能仍然在soap.wsdl_cache_dir中,默认为/ tmp) .

对于这个问题,您必须拥有可以以这种方式实际定位的文件以及触发它被缓存的访问方法(可能是您的Web服务器中的目录遍历?)

无论如何,基于系统上已有的内容触发创建缓存的WSDL与将文件写入Web应用程序有很大不同.

As a result,the ‘soap.wsdl_cache_dir’ directive sets the directory name where the SOAP extension will place the cache files. disabling ‘open_basedir’ has not 1) removed cache files that already exist and/or 2) ceased the possibility of new cache files from being placed into an arbitrary directory.

虽然CVE确实说“任意目录”,但它看起来真正意味着“配置的WSDL缓存目录”.如果它包含目录遍历组件,则此漏洞会更严重.实际上,所有改变的都是添加验证以确保缓存目录在open_basedir中.见here.

disabling ‘open_basedir’ does not really go above and beyond,the underlying issue should really be addressed here

那是胡说八道.这是一个错误,WSDL缓存目录没有正确验证它是否在open_basedir中.如果您没有配置open_basedir,则整个漏洞完全无关紧要 – 没有进行任何其他更改以提供任何额外的安全性好处.

Ubuntu PCI-DSS合规性问题的更多相关文章

  1. 详解使用双缓存解决Canvas clearRect引起的闪屏问题

    这篇文章主要介绍了详解使用双缓存解决Canvas clearRect引起的闪屏问题的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  2. 利用Node实现HTML5离线存储的方法

    这篇文章主要介绍了利用Node实现HTML5离线存储的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

  3. HTML5 Web缓存和运用程序缓存(cookie,session)

    这篇文章主要介绍了HTML5 Web缓存和运用程序缓存(cookie,session),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

  4. 详解前端HTML5几种存储方式的总结

    本篇文章主要介绍了前端HTML5几种存储方式的总结 ,主要包括本地存储localstorage,本地存储sessionstorage,离线缓存(application cache),Web SQL,IndexedDB。有兴趣的可以了解一下。

  5. 在iOS上,缓存绘制的屏幕图像并显示它的最快方法是什么?

    我没有让drawRect每次重绘数千个点,我认为有几种方法可以“在屏幕上缓存图像”和任何其他绘图,我们将添加到该图像,并在drawRect时显示该图像:>使用BitmapContext并绘制到位图,并在drawRect中绘制此位图.>使用CGLayer并在drawRect中绘制CGLayer,这可能比方法1快,因为此图像缓存在图形卡中(并且它不会计入iOS上“内存警告”的RAM使用情况?

  6. ios – NSURLCache和数据保护

    我正在尝试保护存储在NSURLCache中的敏感数据.我的应用程序文件和CoreDatasqlite文件设置为NSFileProtectionComplete.但是,我无法将NSURLCache文件数据保护级别更改为NSFileProtectionCompleteUntilFirstUserAuthentication以外的任何其他级别.这会在设备锁定时暴露缓存中的任何敏感数据.我需要缓存响应,以

  7. iOS Safari多久会清除一次缓存?

    我使用移动Safari缓存来存储我想要持久化的一些数据,所以我希望它们能够在Safari重启和iOS重启后继续存在.但是我已经阅读了somenew和someold报告,Safari在Safari重新启动时清除了它的缓存.但我对Safari8.3的非科学测试表明,有时这个缓存实际上不仅可以在应用程序重启后生存,而且甚至可以重启iOS(!).所以我在这一点上有点困惑.iOSSafari缓存清除的规则是否记录在某处?你们中有谁知道他们并且可以向我解释他们吗?解决方法希望有人发现我错了但是……

  8. ios – 如何获取缓存图像SDWebImage的数据

    我正在使用SDWebImage库来缓存我的UICollectionView中的Web图像:但我想将缓存的图像本地保存在文件中,而不是再次下载它们有没有办法获取缓存图像的数据解决方法SDWebImage默认自动缓存下载的图像.您可以使用SDImageCache从缓存中检索图像.当前应用会话有一个内存缓存,它会更快,并且有磁盘缓存.用法示例:还要确保在文件中导入SDWebImage.(如果您使用的是Swift/Carthage,它将导入WebImage

  9. 缓存 – NSURLCache在iOS5上提供不一致的结果,似乎是随机的

    我刚刚花了很长时间在NSURLCache尖叫我,所以我提供了一些建议,希望别人能够避免我的不幸.这一切都足够合理.我的新应用程序项目只针对iOS5及更高版本,所以我认为我可以利用新的NSURLCache实现我所有的Web缓存需求.我需要一个NSURLCache的自定义子类来处理一些特殊的任务,但是这似乎都被API的有力支持.快速阅读文档,我会参加比赛:我认为一个8MB缓存启动是很好的,我会用更大的

  10. iOS与解析. PFUser.currentuser()没有缓存.应用程序重新启动后返回零

    我正在迅速地用Parse构建一个应用程序.在应用程序停止后,PFUser.currentuser()总是返回nil,并再次运行.我正在使用iOS模拟器,并且启用了本地数据存储.我正在使用这样的东西–而我正在使用的登录当前用户保持到应用程序重新启动,然后重置为零.我甚至试图固定当前用户,但它不起作用.如何检查当前用户是否在本地缓存.任何帮助将不胜感激.谢谢.解决方法对我来说,原因只是以下部分没有执行.注意多线程.通常是这个原因.

随机推荐

  1. crontab发送一个月份的电子邮件

    ubuntu14.04邮件服务器:Postfixroot收到来自crontab的十几封电子邮件.这些邮件包含PHP警告.>我已经解决了这些警告的原因.>我已修复每个cronjobs不发送电子邮件(输出发送到>/dev/null2>&1)>我删除了之前的所有电子邮件/var/mail/root/var/spool/mail/root但我仍然每小时收到十几封电子邮件.这些电子邮件来自cronjobs,

  2. 模拟两个ubuntu服务器计算机之间的慢速连接

    我想模拟以下场景:假设我有4台ubuntu服务器机器A,B,C和D.我想在机器A和机器C之间减少20%的网络带宽,在A和B之间减少10%.使用网络模拟/限制工具来做到这一点?

  3. ubuntu-12.04 – 如何在ubuntu 12.04中卸载从源安装的redis?

    我从源代码在Ubuntu12.04上安装了redis-server.但在某些时候它无法完全安装,最后一次makeinstallcmd失败.然后我刚刚通过apt包安装.现在我很困惑哪个安装正在运行哪个conf文件?实际上我想卸载/删除通过源安装的所有内容,只是想安装一个包.转到源代码树并尝试以下命令:如果这不起作用,您可以列出软件自行安装所需的步骤:

  4. ubuntu – “apt-get source”无法找到包但“apt-get install”和“apt-get cache”可以找到它

    我正在尝试下载软件包的源代码,但是当我运行时它无法找到.但是当我运行apt-cache搜索squid3时,它会找到它.它也适用于apt-getinstallsquid3.我使用的是Ubuntu11.04服务器,这是我的/etc/apt/sources.list我已经多次更新了.我尝试了很多不同的debs,并没有发现任何其他地方的错误.这里的问题是你的二进制包(deb)与你的源包(deb-src)不

  5. ubuntu – 有没有办法检测nginx何时完成正常关闭?

    &&touchrestarted),因为即使Nginx没有完成其关闭,touch命令也会立即执行.有没有好办法呢?这样的事情怎么样?因此,pgrep将查找任何Nginx进程,而while循环将让它坐在那里直到它们全部消失.你可以改变一些有用的东西,比如睡1;/etc/init.d/Nginx停止,以便它会休眠一秒钟,然后尝试使用init.d脚本停止Nginx.你也可以在某处放置一个计数器,这样你就可以在需要太长时间时发出轰击信号.

  6. ubuntu – 如何将所有外发电子邮件从postfix重定向到单个地址进行测试

    我正在为基于Web的应用程序设置测试服务器,该应用程序发送一些电子邮件通知.有时候测试是使用真实的客户数据进行的,因此我需要保证服务器在我们测试时无法向真实客户发送电子邮件.我想要的是配置postfix,以便它接收任何外发电子邮件并将其重定向到一个电子邮件地址,而不是传递到真正的目的地.我正在运行ubuntu服务器9.10.先感谢您设置本地用户以接收所有被困邮件:你需要在main.cf中添加:然后

  7. ubuntu – vagrant无法连接到虚拟框

    当我使用基本的Vagrantfile,只配置了两条线:我看到我的虚拟框打开,但是我的流氓日志多次显示此行直到超时:然后,超时后的一段时间,虚拟框框终于要求我登录,但是太久了!所以我用流氓/流氓记录.然后在我的物理机器上,如果我“流氓ssh”.没有事情发生,直到:怎么了?

  8. ubuntu – Nginx – 转发HTTP AUTH – 用户?

    我和Nginx和Jenkins有些麻烦.我尝试使用Nginx作为Jenkins实例的反向代理,使用HTTP基本身份验证.它到目前为止工作,但我不知道如何传递带有AUTH用户名的标头?}尝试将此指令添加到您的位置块

  9. Debian / Ubuntu – 删除后如何恢复/ var / cache / apt结构?

    我在ubuntu服务器上的空间不足,所以我做了这个命令以节省空间但是现在在尝试使用apt时,我会收到以下错误:等等显然我删除了一些目录结构.有没有办法做apt-getrebuild-var-tree或类似的?

  10. 检查ubuntu上安装的rubygems版本?

    如何查看我的ubuntu盒子上安装的rubygems版本?只是一个想法,列出已安装的软件包和grep为ruby或宝石或其他:)dpkg–get-selections

返回
顶部