Сбой соответствия PCI - удаленный SMTP-сервер уязвим для переполнения буфера

Вероятно, ложное срабатывание основано только на строке версии, возвращенной в ответе соединения. Вероятно, это уже было исправлено в вашей конкретной версии. Вы не упомянули, какой сканер вы используете, но, скорее всего, он на самом деле не пытался использовать переполнение буфера - он просто основывает то, что он видит, на базе версий и уязвимостей.

** РЕДАКТИРОВАТЬ: ЭТО НЕПРАВИЛЬНО - ПОЖАЛУЙСТА: К тому же - последний раз, когда я читаю спецификации (около 3 лет назад), соответствие PCI не означает, что вы должны проходить какие-либо тесты для конкретного инструмента сканирования уязвимостей - для этого требуется только наличие процедур на месте регулярное сканирование и устранение проблем, а также средства управления, обеспечивающие это. **

Я только что просмотрел последние документы, и теперь кажется, что требуется сканирование совместимым ASV. Возможно, я ошибся или изменился, так или иначе, вы застряли в сторонней компании.

Действительно ли вы провалили проверку PCI или это просто служба, которая претендует на статус "PCI-совместимого" сканера. Дополнительное примечание - читали ли вы соответствующие разделы PCI? Если нет, вы должны - это не так уж плохо.

Что бы ни говорил вам сканер, он должен давать вам ссылочный номер уязвимости из какой-то общедоступной базы данных уязвимостей. Прочтите это, а затем проверьте, исправлен ли в установленном вами пакете исправление данной уязвимости или нет, а затем задокументируйте этот факт и продолжайте.

Если вы платите внешней аудиторской фирме, чтобы подготовить вас к аудиту PCI, а они не сообщают вам эти данные, вы должны попросить их - и если они не дадут их, запустите nessus самостоятельно, это сообщит вам.

Открытое реле корректно - служба внешнего сканера предполагает, что она имеет то же представление о вашей сети, что и остальная часть Интернета. Если вы внесете его в белый список, то ему будет разрешено передавать, и он будет предполагать, что все остальные тоже. Если порт 25 обычно заблокирован для общего доступа, то вы должны оставить его заблокированным для целей сканирования - это часть вашей безопасности.

Просто расширение @sysadmin1138, но вам нужно найти номер CVE, который они указали для уязвимости (вероятно, CVE-200something-numbers). Google для этой уязвимости и нажмите на любую ссылку, которая говорит "RedHat", "CentOS" или даже одним нажатием "Fedora". На этой странице будет указано, было ли оно разрешено, и в каких версиях оно было разрешено. Сверьте свою версию Exim с этим и затем объясните свои выводы ASV, который отметит, что это был ложный положительный результат.

Возможно, вам не повезло, если бы вы были CPanel (и не использовали стандартные репозитории, если я правильно помню).

Переполнение буфера чаще всего приводит к компрометации учетной записи для пользователя, запускающего данный демон. Переполнения буфера иногда приводят к отказу в обслуживании, но, как правило, это не так, и часто они становятся компромиссом на уровне системы после проведения дальнейших исследований. Если на самом деле проблема, это может иметь большое значение. Я бы оценил его между средним и высоким в зависимости от того, где он касается моей инфраструктуры и размера зоны обслуживания.

Вам нужно будет проверить две основные вещи:

• Сканер должен определить точную уязвимость, о которой идет речь. Исследуйте его и попытайтесь воспроизвести / проверить уязвимость.
• Сканер должен определить точный метод, используемый для определения уязвимости, что, как правило, является самым простым способом определения легитимности. В случае ложного срабатывания должно быть совершенно ясно, какие методы используются в сравнении с тем, какая уязвимость предположительно находится в области действия.

С помощью Scan Alert (теперь McAfee) я редко получаю ложные срабатывания. Если у вашего утвержденного поставщика сканера нет ложных срабатываний, я бы предположил, что это допустимая уязвимость, пока вы не докажете обратное.

Если вы уязвимы, вам будет достаточно легко найти поддерживаемый патч для вашего дистрибутива.

Подождите, какую ошибку вы получаете, и какой сканер используется против вашего почтового сервера? eEye Retina? Несс?

В одном предложении вы говорите: "Это ошибка: удаленный SMTP-сервер уязвим для переполнения буфера".

... позже в своем вопросе вы говорите: "Я пробовал белый список IP-адресов в Exim, но сканер по-прежнему выдает сервер и говорит, что сервер уязвим для открытой ретрансляции".

Это два совершенно разных вывода сканера... внесение в белый список IP сканера в Exim на самом деле усугубит вашу проблему, а не улучшит ее. Если вы добавите в белый список IP-адрес сканера, он подумает, что может открыть ретрансляцию через SMTP, что является распространенной проблемой для SMTP-серверов, которыми пользуются спаммеры.