1. Accueil
  2. Question et réponse
  3. Conformité PCI sur Windows Web Server 2008 R2

Conformité PCI sur Windows Web Server 2008 R2

2012-06-28 4 views
1

Désolé, ce n'est pas le forum approprié pour publier ce message, mais je n'ai plus d'idées ici. Nous avons récemment acheté un nouveau serveur dédié (exécutant Windows Web Server 2008 R2). Un de nos clients à essayer d'obtenir la conformité PCI. Le serveur est à jour et nous avons fermé tous les ports et échappatoires inutiles. Mais le site continue d'échouer à l'un de ses tests. Je vais coller le message d'erreur:Conformité PCI sur Windows Web Server 2008 R2

Titre: Programme web vulnérable (Singapour) Impact: Un attaquant distant pourrait exécuter des commandes arbitraires, créer ou écraser des fichiers, ou afficher des fichiers ou des répertoires sur le serveur Web.

Données envoyées:

GET /thumb.php?image=../data/users.csv.php%00.jpg 
HTTP/1.0 Host: www.monorep.co.uk 
User-Agent: Mozilla/4.0 
Connection: Keep-alive

données reçues:

And: <html xmlns="http://www.w3.org/1999/xhtml"><!-- InstanceBegin template="/Templates/standard page - group.dwt.aspx" codeOutsideHTMLIsLocked="false" --> 
And: <a class="addthis_button_email"></a> Resolution: 12/23/04 CVE 2004-1407 CVE 2004-1408 CVE 2004-1409 CVE 2006-3194 CVE 2006-3195 CVE 2006-3196

L'application de galerie d'images de Singapour est affectée par de multiples vulnérabilités. Singapour 0.10 et les versions antérieures sont concernées par ces vulnérabilités: Traversée de répertoires dans index.php permettant un accès en lecture non autorisé aux fichiers sensibles dans le répertoire ' de l'application, tel que le fichier users.csv.php qui contient des mots de passe chiffrés Cross-site scripting in index. php Possibilité d'obtenir le chemin d'installation Singapour 0.9.10 et les versions antérieures sont affectées par ces vulnérabilités. Répertoire traversal dans thumb.php permettant un accès en lecture non autorisé aux fichiers sensibles dans le répertoire ' de l'application, tel que le fichier users.csv.php qui contient des mots de passe chiffrés Vulnérabilité de téléchargement de fichiers dans la fonction addImage permettant aux utilisateurs connectés de télécharger et d'exécuter des scripts PHP Traversée de répertoire permettant la suppression de répertoires arbitraires sur les plates-formes Windows si le serveur Web a un accès en écriture au répertoire. Résolution de script intersite: mise à niveau vers Singapour 0.10.1 ou version ultérieure si disponible.

Facteur de risque: High/CVSS2 base Score: 7,5 (AV: N/AC: L/Au: N/C: P/I: P/A: P) CVE: CVE-2004-1408 BID : 11990 18518 CVEs supplémentaires: CVE-2006-3194 CVE-2006-3196 CVE-2004-1409 CVE-2004-1407 CVE-2006-3195

J'ai aucune idée ce que cela est à propos de. Nous n'utilisons pas cette application "Singapour" et nous n'exécutons pas du tout de php sur le serveur.

Quelqu'un peut-il offrir des suggestions sur celui-ci s'il vous plaît. Je serais reconnaissant pour les offres de conseils.

Merci.

Source

2012-06-28 Strontium_99

Répondre

1

Les scanners de sécurité PCI sont des logiciels simples avec de grandes bases de données. Ils sont destinés à fournir une source d'inspiration pour la sécurisation d'un système, mais il appartient à l'homme de suivre tous les éléments trouvés. Discutez de tout ce que vous ne pouvez pas résoudre avec l'évaluateur et évaluez si les résultats de l'analyse peuvent représenter de véritables risques de sécurité dans votre environnement. Cela dit, le moins d'efforts dans la procédure d'évaluation tend à être basé sur une surface minimale et des balayages de sécurité propres, bien sûr.

Pour être utile également avec un logiciel qui n'a jamais été vu auparavant, les scanners recherchent un comportement suspect plutôt que des versions de logiciels malveillants connus.D'autre part, pour vous donner des conseils pratiques, ils tentent de pointer vers un composant auquel le comportement suspect pourrait être associé, d'encourager le correctif complet de sécurité disponible (suppression, mise à niveau) plutôt que de traiter les comportements défectueux détectés un par un.

Bien sûr, vous n'étiez jamais à Singapour quoi que ce soit. Le problème ici est que la configuration d'IIS semble permettre deux choses problématiques:

  • Autoriser .. dans les requêtes HTTP pour accéder aux fichiers en dehors des dossiers configurés
  • desservons des chemins qui ressemblent à des images (.jpg) sur le web serveur, mais font finalement référence à quelque chose de beaucoup plus sensible à cause d'un terminateur de chaîne de style C++ (MIME codé %00) inséré dans le chemin.

En savoir plus sur the former issue ici. Lisez here pour activer et désactiver les chemins parents. (Les chemins parentaux sont désactivés par défaut dans IIS 7 et si vous ne les avez pas modifiés, cet élément singapourien est complètement une fausse alarme.)

Source

2012-06-29 07:20:00

+0

Salut, et désolé pour le retard. J'essayais quelques petites choses depuis ta reprise et oui, tu avais tout à fait raison. Le problème était lié à la possibilité que le script injecté puisse traverser le répertoire racine des sites. Nous avons appliqué un filtre à IIS (http://www.iis.net/ConfigReference/system.webServer/security/requestFiltering/filteringRules) pour empêcher quiconque d'utiliser ../ dans le cadre d'une URL. Cela signifie que nous avons passé les tests PCI avec brio. Merci de m'avoir mis sur la bonne voie. –

Questions connexes

 Questions connexes