Соответствие PCI в Windows Web Server 2008 R2

Извините, это не тот форум, чтобы опубликовать это, но у меня заканчиваются идеи. Недавно мы приобрели новый выделенный сервер (под управлением Windows Web Server 2008 R2). Один из наших клиентов пытается получить соответствие требованиям PCI. Сервер обновлен, и мы закрыли все ненужные порты и лазейки. Но сайт продолжает проваливать один из тестов. Я вставлю сообщение об ошибке:

Название: уязвимая веб-программа (Сингапур) Воздействие. Удаленный злоумышленник может выполнять произвольные команды, создавать или перезаписывать файлы или просматривать файлы или каталоги на веб-сервере.

Данные отправлены:

GET /thumb.php?image=../data/users.csv.php%00.jpg
HTTP/1.0 Host: www.monorep.co.uk
User-Agent: Mozilla/4.0
Connection: Keep-alive

Данные получены:

And: <html xmlns="http://www.w3.org/1999/xhtml"><!-- InstanceBegin template="/Templates/standard page - group.dwt.aspx" codeOutsideHTMLIsLocked="false" -->
And: <a class="addthis_button_email"></a> Resolution: 12/23/04 CVE 2004-1407 CVE 2004-1408 CVE 2004-1409 CVE 2006-3194 CVE 2006-3195 CVE 2006-3196

Приложение сингапурской галереи изображений подвержено множеству уязвимостей. Сингапур 0.10 и более ранние версии подвержены следующим уязвимостям: Обход каталога в index.php, обеспечивающий несанкционированный доступ для чтения к конфиденциальным файлам в каталоге приложения, таким как файл users.csv.php, который содержит зашифрованные пароли Межсайтовые сценарии в index.php Возможность для получения пути установки Сингапур 0.9.10 и более ранние версии подвержены этим уязвимостям. Обход каталога в thumb.php, позволяющий несанкционированный доступ для чтения к конфиденциальным файлам в каталоге приложения, таким как файл users.csv.php, который содержит зашифрованные пароли Уязвимость загрузки файлов в функции addImage, позволяющая вошедшим в систему пользователям загружать и выполнять PHP-скрипты Обход каталога разрешение удаления произвольных каталогов на платформах Windows, если веб-сервер имеет доступ для записи в каталог Межсайтовый скриптинг Решение: обновление до Singapore 0.10.1 или более поздней версии, если она доступна.

Фактор риска: Высокий/ Базовая оценка CVSS2: 7,5 (AV:N/AC:L/Au:N/C:P/I:P/A:P) CVE: CVE-2004-1408 BID: 11990 18518 Дополнительные CVE: CVE -2006-3194 CVE-2006-3196 CVE-2004-1409 CVE-2004-1407 CVE-2006-3195

Я понятия не имею, о чем это. Мы не используем это "Сингапурское" приложение и вообще не запускаем php на сервере.

Может ли кто-нибудь предложить какие-либо предложения по этому поводу, пожалуйста. Я был бы чудовищно благодарен за любые предложения совета.

Спасибо.


windows pci-compliance windows-server-2008
person Strontium_99    schedule 28.06.2012    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Сканеры безопасности PCI — это простое программное обеспечение с большими базами данных. Они предназначены для вдохновения для обеспечения безопасности системы, но люди должны следить за любыми найденными предметами. Обсудите с оценщиком все, что вы не можете решить, и оцените, могут ли результаты сканирования представлять реальную угрозу безопасности в вашей среде.

Тем не менее, процедура оценки с наименьшими усилиями, как правило, основана на минимальной площади поверхности и чистом сканировании безопасности, конечно.

Чтобы быть полезными также с программным обеспечением, которое никогда раньше не встречалось, сканеры проверяют подозрительное поведение, а не известные неверные версии программного обеспечения. С другой стороны, чтобы дать вам практическое руководство, они пытаются указать на компонент, с которым может быть связано подозрительное поведение, чтобы стимулировать полное исправление безопасности (удаление, обновление), а не устранять обнаруженные ошибочные действия один за другим.

Конечно, вы никогда не управляли Сингапуром, каким бы он ни был. Проблема здесь в том, что ваша конфигурация IIS допускает две проблемные вещи:

  • Разрешить .. в HTTP-запросах доступ к файлам за пределами настроенных папок
  • Подавать пути, которые выглядят как изображения (.jpg) на веб-сервере, но в конечном итоге ссылаются на что-то гораздо более конфиденциальное из-за разделителя строки в стиле C++ (MIME, закодированного как %00), вставленного в путь.

Подробнее о первой проблеме читайте здесь. Прочитайте здесь, как включать и выключать родительские пути. (Родительские пути отключены по умолчанию в IIS 7, и если вы не изменили это, этот элемент Сингапура является полностью фиктивным сигналом тревоги.)

person Jirka Hanika    schedule 29.06.2012
comment
Привет, и извините за задержку. Пробовал кое-что с этого конца после вашего повтора, и да, вы были совершенно правы. Проблема заключалась в том, что внедренный скрипт мог выйти за пределы корневого каталога сайта. Мы применили фильтр к IIS (iis.net/ConfigReference/system.webServer /security/), запрещающий кому-либо использовать ../ как часть URL-адреса. Это означало, что мы успешно прошли тестирование PCI. Спасибо, что поставили меня на правильный путь. - person Strontium_99; 10.07.2012