Ubuntu PCI-DSS Совместимость Проблема

Я пытаюсь получить соответствие PCI, и компания, занимающаяся сканированием PCI, помечает нашу Ubuntu 12.04 PHP 5.3.10-1ubuntu3.9 для CVE-2013-1635. Согласно http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-1635.html ответ Ubuntu "Мы не поддерживаем пользователя open_basedir", и все версии были помечены как игнорируемые.,

Я в недоумении, что мне здесь делать. Я указал моей сканирующей компании на тот же URL, но они не принимают это как и отвечают.

Что я должен делать?

Обновить

Я не использую эту функциональность, и директива open_basedir отключена в php.ini. Однако они не считают это правильным решением.

Вот их ответ на их отрицание моего спора:

Мы отклонили этот спор на основании предоставленной информации о том, как этот вывод был рассмотрен. Обнаружено, что версия PHP, работающая в настоящее время в этой системе, неправильно очищает вводимые пользователем данные. Несмотря на то, что open_basedir в этой системе отключен, злоумышленник может воспользоваться этой проблемой и записать файлы wsdl в контексте уязвимого приложения. Также было обнаружено, что возможны и другие атаки. В результате директива soap.wsdl_cache_dir устанавливает имя каталога, в котором расширение SOAP будет размещать файлы кэша. Отключение open_basedir не привело к 1) удалению уже существующих файлов кэша и / или 2) исключению возможности размещения новых файлов кэша в произвольном каталоге.

Пожалуйста, просмотрите https://www.pcisecuritystandards.org/security_standards/glossary.php для определения компенсирующего элемента управления. Среди прочего "Компенсирующие средства управления должны:… быть" выше и выше "других требований PCI DSS (а не просто соответствовать другим требованиям PCI DSS)", и отключение "open_basedir" на самом деле не выходит за рамки, основная проблема должна действительно быть адресованным здесь. Опять же, требования, перечисленные в отчете о сканировании, состоят в том, чтобы обновить систему или использовать упомянутые компенсирующие элементы управления (которых в этом случае отключение open_basedir будет недостаточно).

Любые проблемы, обнаруженные в системе, находящейся в области соответствия PCI DSS, должны будут устранять все проблемы, несовместимые с PCI (это любая система, занимающаяся хранением, обработкой и / или передачей данных держателя кредитной карты и любая система напрямую). подключен к сети, участвующей в таких процессах, которая не имеет надлежащей сегментации сети на месте).

Пожалуйста, просмотрите отчет о сканировании и следуйте рекомендациям, найденным в столбце "Исправление", а затем выполните еще одно сканирование, когда уязвимость будет устранена, чтобы очистить обнаружение от вашего следующего отчета о сканировании.

Если уязвимость продолжает обнаруживаться после этой точки и / или если вы уже выполнили это, пожалуйста, не стесняйтесь повторно оспаривать эту уязвимость и объясните, что было сделано для устранения проблемы.

1 ответ

Решение

Кажется подозрительным, что Ubuntu "не поддерживает" стандартную директиву конфигурации PHP, так как они исправили ошибки с ней раньше ( например).

Изменить: Похоже, что Debian и Red Hat имеют одинаковую политику, на самом деле - "не поддерживать" - это плохая формулировка, но все эти дистрибутивы считают, что недостатки в изначально некорректном механизме безопасности не являются проблемой.

По этим причинам ошибки в параметрах "безопасный режим" и "open_basedir" или любые ошибки в интерпретаторе PHP или расширениях, которые позволяют сценариям обходить эти параметры, не будут рассматриваться как чувствительные к безопасности.

Тем не менее, это, вероятно, не имеет значения. Проверьте свои php.ini за open_basedir - если его там нет, то проблема безопасности совершенно не затрагивает вас, поскольку ошибка - это обход ограничений безопасности, которые open_basedir обеспечивает.

Однако, если ваш аудитор особенно плох в этом, лучше всего перестать показывать им версию PHP, на которой вы работаете - проверка строк - это ужасный способ оценки уязвимости. Если это веб-сервер Apache, показывающий строки его версии, укажите его ServerSignature Off а также ServerTokens Prod,

Отредактируйте с примечаниями на ответе, который они послали Вам...

Обнаружено, что версия PHP, работающая в настоящее время в этой системе, неправильно очищает вводимые пользователем данные.

Эта ошибка не имеет ничего общего с дезинфекцией, это недостаток механики песочницы.

Несмотря на то, что open_basedir в этой системе отключен, злоумышленник может воспользоваться этой проблемой и записать файлы wsdl в контексте уязвимого приложения.

Я ни в коем случае не эксперт по внутренним компонентам PHP, но это кажется серьезным неправильным толкованием этой уязвимости. Из того, что я могу сказать об этой ошибке, проблема в том, что злоумышленник может использовать механизм кэширования WSDL для загрузки WSDL из каталога, расположенного вне open_basedir корень (но, вероятно, все еще в пределах soap.wsdl_cache_dir, который по умолчанию /tmp).

Чтобы это вообще имело значение, у вас должны быть файлы, на которые можно было бы нацелить таким образом, и метод доступа для его кеширования (возможно, обратный путь в каталогах на вашем веб-сервере?)

В любом случае, запуск создания кэшированного WSDL на основе содержимого, уже находящегося в системе, очень отличается от записи файлов в ваше веб-приложение.

В результате директива soap.wsdl_cache_dir устанавливает имя каталога, в котором расширение SOAP будет размещать файлы кэша. Отключение open_basedir не привело к 1) удалению уже существующих файлов кэша и / или 2) исключению возможности размещения новых файлов кэша в произвольном каталоге.

В то время как CVE говорит "произвольный каталог", на самом деле это означает "настроенный каталог кэша WSDL". Эта уязвимость была бы гораздо более серьезной, если бы она включала компонент обхода каталога. В действительности все, что было изменено, это добавление проверки, чтобы убедиться, что каталог кэша находится в пределах open_basedir, Смотрите здесь

отключение 'open_basedir' на самом деле не выходит за рамки, основная проблема должна быть решена здесь

Это чепуха. Это ошибка, когда каталог кэша WSDL неправильно проверял, что он был в open_basedir, Если у вас нет open_basedir После настройки вся уязвимость совершенно не имеет значения - никаких других изменений не было сделано, чтобы обеспечить какие-либо дополнительные преимущества безопасности.

Другие вопросы по тегам