Falha na Conformidade PCI - O servidor SMTP remoto é vulnerável a um estouro de buffer

O resultado do seu serviço de varredura PCI é provavelmente um falso positivo, embora possa ser difícil dizer. É provável que eles correspondam ao número da versão do seu programa SMTP, ele geralmente é anunciado na conexão com a porta 25 e verificado esse produto e o número da versão em relação a uma lista de softwares vulneráveis conhecidos. E encontrou um fósforo.

Como você está no Centos, o que você precisa fazer é percorrer todo o histórico de revisão dos releases RPM do serviço SMTP, procurando por um changelog que especifique as correções de segurança. As chances são muito boas de que o RedHat tenha retroportado a vulnerabilidade de estouro de buffer para a revisão mais antiga, mas você precisa voltar atrás para ter certeza. Feito isso, você pode sinalizar isso como um falso positivo.

O retrocesso de patches de segurança é um dos principais benefícios de usar um Linux com um contrato de suporte. O Centos é a mesma coisa, mas você não pode ligar para qualquer coisa que você acabou de receber os patches de segurança.

Apenas uma extensão para @ sysadmin1138, mas você precisa encontrar o número CVE fornecido para a vulnerabilidade (provavelmente números CVE-200). Google para essa vulnerabilidade e clique em qualquer link que diz "RedHat", "CentOS" ou até mesmo em um empurrão "Fedora". Essa página dirá se foi resolvida e em quais versões ela foi resolvida. Verifique sua versão do Exim e, em seguida, explique suas descobertas para o ASV, que irá marcá-lo como um falso positivo.

Você pode ter o azar de ser CPanel (e não usar repositórios padrão se eu me lembrar corretamente).

Provavelmente, um falso positivo baseado apenas na string de versão retornada na resposta da conexão. Provavelmente já foi corrigido em sua versão particular. Você não mencionou qual scanner você usa, mas provavelmente não tentou explorar um estouro de buffer - é apenas basear o que ele vê em um banco de dados de versões e vulnerabilidades.

** EDIT: ISTO ESTÁ INCORRETO - Desculpe, também - a última vez que li as especificações (cerca de 3 anos atrás) a conformidade com PCI não significa que você deve passar em testes de qualquer ferramenta específica de varredura de vulnerabilidades - só requer que você tenha procedimentos em vigor para fazer varredura regular e resolver problemas, e os controles de gerenciamento para garantir que isso aconteça. **

Acabei de revisar os documentos mais recentes, e a verificação por um ASV compatível parece ser necessária agora. Eu posso ter me esquecido, ou pode ter mudado, de qualquer forma, você está preso a uma empresa externa.

Você realmente falhou em uma auditoria do PCI ou é apenas um serviço que afirma ser um scanner "compatível com PCI"? Nota lateral - você leu as seções reveladoras do PCI? Se não, você deve - não é tão ruim assim.

Qualquer que seja o scanner dizendo isso, ele deve fornecer um número de referência de vulnerabilidade de algum banco de dados de vulnerabilidade acessível publicamente. Dê uma leitura e, em seguida, verifique se o pacote que você instalou tem essa vulnerabilidade em particular corrigida ou não e, em seguida, documente esse fato e siga em frente.

Se você está pagando uma empresa de auditoria externa para prepará-lo para uma auditoria de PCI e eles não estão dando a você esses detalhes, você deve perguntar por eles - e se eles não derem, execute nessus você mesmo, te dizer.

O relé aberto está correto - o serviço de scanner externo supõe que tenha a mesma visão de sua rede que o resto da Internet. Se você fizer a whitelist, é permitido retransmitir, e vai assumir que todo mundo também é. Se a porta 25 é normalmente bloqueada para o público, você deve deixá-la bloqueada para fins de verificação - isso é parte da sua segurança.

Aguarde qual erro você está recebendo e qual scanner está sendo usado em seu servidor de e-mail? eEye Retina? Nessus?

Em uma frase você diz: "Este é o erro: o servidor SMTP remoto é vulnerável a um estouro de buffer."

... mais tarde, na sua pergunta, você diz "Tentei listar o IP em branco no Exim, mas o scanner ainda fornece o servidor e diz que o servidor está vulnerável a retransmissão aberta".

Essas são duas descobertas de scanner completamente diferentes ... colocar o IP do scanner no Exim na lista de permissões realmente pioraria seu problema, não melhoraria. Se você colocar na lista de permissões o IP do scanner, ele poderá abrir a retransmissão através do SMTP, que é um problema comum em servidores SMTP dos quais os spammers aproveitam.

Um estouro de buffer mais frequentemente do que não resulta em comprometimento de conta para o usuário que está executando o daemon em questão. Os estouros de buffer são, às vezes, negação de serviço, mas normalmente não são e geralmente acabam sendo comprometidos no nível do sistema depois que novas pesquisas são feitas. Se realmente um problema, isso pode ser um grande negócio. Eu classificaria entre médio e alto, dependendo de onde ele tocasse minha infraestrutura e o tamanho da pegada.

Você precisará verificar duas coisas principais:

• O scanner deve identificar a vulnerabilidade exata em questão. Pesquise e tente reproduzir / verificar a vulnerabilidade.
• O scanner deve identificar o método exato usado para determinar a vulnerabilidade, que normalmente é a maneira mais fácil de determinar a legitimidade. Se for um falso positivo, deve ficar bem claro nos métodos utilizados versus qual vulnerabilidade está supostamente no escopo.

Eu descobri com o alerta de verificação (agora McAfee) raramente produzem falsos positivos. A menos que seu Fornecedor de scanners aprovado tenha um histórico de falsos positivos, presumo que seja uma vulnerabilidade legítima até você provar .

Se estiver vulnerável, deve ser fácil localizar um patch compatível para sua distribuição.