Versiones de software y cumplimiento de PCI
Última modificación: 30 de junio de 2021
Visión general
La mayoría de los sistemas de escaneo de cumplimiento de PCI utilizan un número de versión de paquete de software específico que contiene una vulnerabilidad reportada. Este documento analiza algunos de los paquetes de software específicos que contienen vulnerabilidades conocidas. Este documento también le ayudará a determinar si los desarrolladores utilizaron el proceso de backport para parchear un paquete de software.
Importante:
El sistema transmite cookies inseguras cuando caduca un conjunto anterior de cookies. Las cookies inseguras reemplazan las cookies no válidas y ayudan a garantizar que un inicio de sesión de cPanel & WHM no resulte en un bucle de redireccionamiento. Para el cumplimiento de PCI, el sistema informa esto como un falso positivo porque el sistema requiere una conexión SSL segura.
¿Qué es el backporting?
El proceso de backport permite al proveedor del sistema operativo cambiar solo las partes del software afectadas por la vulnerabilidad de seguridad. De esta forma, evita la introducción de nuevas funcionalidades que los desarrolladores no probaron. Este proceso no incrementa el número de versión. En cambio, los desarrolladores adjuntan una bandera al paquete.
Los desarrolladores de sistemas operativos a menudo respaldan las actualizaciones para evitar la necesidad de distribuir una nueva versión del paquete de software.
Por ejemplo, un desarrollador de sistema operativo puede combinar OpenSSL 0.9.7c con un parche de OpenSSL 0.9.7.d para crear OpenSSL 0.9.7c-2. Si la mayoría de los sistemas de escaneo PCI buscan OpenSSL versión 0.9.7d o superior, pueden mostrar incorrectamente OpenSSL 0.9.7c-2 como vulnerable. En este caso, deberá informar a la empresa de cumplimiento de PCI que utiliza una versión con copia de seguridad del paquete de software, que sus desarrolladores parchearon para la vulnerabilidad. Su empresa de cumplimiento de PCI puede registrar la versión de su software y marcar un falso positivo en los resultados del análisis.
OpenSSL
Muchos paquetes y servicios del sistema diferentes utilizan OpenSSL. Para verificar su instalación de OpenSSL para backporting, realice los siguientes pasos:
Determine qué paquete de OpenSSL existe en su sistema. Para hacer esto, ejecute el siguiente comando:
La siguiente salida de ejemplo indica que su servidor ejecuta la versión
openssl-0.9.8e-36
de OpenSSL:1 2
openssl-0.9.8e-36.el5_11 openssl-0.9.8e-36.el5_11
Para verificar el registro de cambios de RPM en busca de correcciones de vulnerabilidad que incluye la versión, ejecute el siguiente comando:
rpm --changelog -q openssl-0.9.8b-10.el5 | less
El registro de cambios de RPM puede incluir arreglos para los CVE que requiere su empresa de escaneo de cumplimiento de PCI. Si aparecen estas correcciones, infórmeles de la versión parcheada y qué CVE incluye para que puedan marcarla como un falso positivo.
SSLCipherSuite
los SSLCipherSuite directiva en el configuración global sección de WHM Configuración de Apache interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache) tiene como valor predeterminado un valor compatible con PCI a partir de la versión 66 de cPanel & WHM.
Si desea ajustar la directiva SSLCipherSuite, le recomendamos que genere una configuración de cifrado con Generador de configuración SSL de Mozilla.
Si ha ajustado el valor de la directiva SSLCipherSuite y los escaneos de cumplimiento de PCI del puerto 443
hacer no pasar, restablecer el SSLCipherSuite directiva en el configuración global sección de WHM Configuración de Apache interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache) a la configuración predeterminada.
OpenSSH
Para determinar qué paquete OpenSSH existe en su sistema, ejecute el siguiente comando:
La salida puede parecerse al siguiente ejemplo:
|
|
Esta salida indica que openssh-5.3pl-94.e16
existe como su versión de OpenSSH. Esta versión de OpenSSH puede resultar en un escaneo PCI que devuelve las siguientes dos vulnerabilidades:
OpenSSH
J-PAKE
Vulnerabilidad de recuperación de claves de sesión: este problema no no afectan a OpenSSH como se envía con RedHat Enterprise Linux® (RHEL) versiones 6 y 7. Para obtener más información, lea CVE-2010-4478 en el sitio web de RedHat.OpenSSH
"child_set_env()"
Problema de omisión de seguridad: este problema afecta mínimamente la seguridad y no no plantean un riesgo severo para la mayoría de los sistemas. Aunque esta versión 6.6 de OpenSSH solucionó este problema, los repositorios RHEL no no contienen esta versión actualizada. Si desea actualizar OpenSSH a la nueva versión, debe instalarlo manualmente.
Si el paquete OpenSSH 6.6.1p1-35.el7_3
existe en su servidor, su salida se parecerá al siguiente ejemplo:
|
|
Este paquete OpenSSH contiene una vulnerabilidad que afecta la forma en que maneja la autenticación por parte de usuarios que no existen en el sistema. Para mitigar este problema, habilite el módulo de seguridad de Linux con seguridad mejorada (SELinux) que se envía con las versiones 6 y 7 de RHEL.
Para obtener más información sobre esta vulnerabilidad, lea CVE-2016-6210 en el sitio web de RedHat.
El demonio SSH
El cumplimiento de PCI requiere el demonio SSH (sshd
) para apoyar algoritmos de hashtag sólidos. Al revisar un escaneo PCI, uno de los problemas comunes es que el SSHD admite algoritmos de hash débiles. La mayoría de las veces, este problema puede ocurrir cuando un servidor usa la configuración SSHD predeterminada. Para resolver este problema, realice los siguientes pasos:
Inicie sesión en el servidor como
root
usuario a través de SSH.Abre el
/etc/ssh/sshd_config
archivo con un editor de texto.Agregue las siguientes líneas al archivo:
1 2 3 4 5
KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com
Reinicie el demonio SSH. Para hacer esto, ejecute el siguiente comando:
/usr/local/cpanel/scripts/restartsrv_sshd
Vuelva a escanear su servidor con su cuenta en el sitio web de la empresa PCI.
Exim
cPanel & WHM incluye parches que ayudan a que Exim sea compatible con PCI. El registro de cambios de RPM incluye información sobre estos parches.
Protocolo simple de transferencia de correo
El cumplimiento de PCI requiere cifrado del cliente de correo. Su cliente de correo proporciona cifrado SSL y TLS. Para confirmar que las transacciones SMTP de su servidor permanecen cifradas, realice los siguientes pasos como root
usuario:
Navega al Administrador de configuración de Exim interfaz (WHM >> Inicio >> Configuración del servicio >> Administrador de configuración de Exim).
Habilite el Solicite a los clientes que se conecten con SSL o emita el comando STARTTLS antes de que se les permita autenticarse con el servidor. opción.
Nota:
A partir de la versión 66 de cPanel y WHM, esta opción tiene como valor predeterminado Sobre.
Hacer clic Ahorrar.
Navega al Configuración del servidor de correo interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración del servidor de correo)
Selecciona el Permitir la autenticación de texto sin formato (desde clientes remotos) opción a No.
Hacer clic Ahorrar.
CVE respaldados
Para ver las correcciones relacionadas con CVE en su versión de Exim, ejecute el siguiente comando:
rpm -q --changelog exim | grep CVE
La salida mostrará el número CVE, por ejemplo:
|
|
Para informar las correcciones de CVE que incluye su instalación de Exim, envíe la salida que refleja el software parcheado a su empresa de escaneo PCI.
FTP
Nosotros fuertemente Recomendamos que desactive los servicios FTP y utilice SFTP, SCP o WebDisk para transferencias de archivos.
Si tu no poder deshabilitar los servicios FTP, le recomendamos que utilice WHM Selección de servidor FTP interfaz (WHM >> Inicio >> Configuración del servicio >> Selección del servidor FTP) para configurar su servidor para que utilice ProFTPD.
Entonces, use WHM’s Configuración del servidor FTP interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración del servidor FTP) para configurar ProFTPD para usar el siguiente paquete de cifrado TLS:
TLSCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
TLS
El cumplimiento de PCI requiere que su servidor ejecute TLS versión 1.2 o superior. Para obtener más información, lea el Security Standards Council’s® Cambio de fecha para la migración desde SSL y TLS temprana artículo y nuestro obsoleto documentación.
Unir
Aunque cPanel & WHM no crea BIND, todos los servidores de cPanel & WHM incluyen BIND por defecto. Las actualizaciones de los proveedores normalmente resolverán los problemas de cumplimiento de PCI.
ENLACE CVE-2011-4313
El registro de cambios de BIND no se muestra CVE-2011-4313
directamente. En cambio, el registro de cambios se muestra debajo RHEL #754398
.
Ejecute el siguiente comando para probar la presencia de esta solución:
rpm -q --changelog bind | grep 754398
Su salida debe parecerse al siguiente ejemplo:
- fix DOS against recursive servers (#754398)
Para informar las correcciones de CVE que incluye su instalación de BIND, envíe la salida que refleja el software parcheado a la empresa de escaneo PCI.
Ocultar la versión BIND
Para cumplir con PCI, debe ocultar la versión BIND en su servidor.
Para hacer esto, siga los siguientes pasos:
Conéctese al servidor a través de SSH como
root
usuario.Edite el
/etc/named.conf
archivo y agregue la siguiente línea de código a la sección de opciones:Utilice el siguiente comando para reiniciar BIND:
/usr/local/cpanel/scripts/restartsrv_named
Vuelva a escanear su servidor con su cuenta en el sitio web de la empresa PCI.
Ocultar el nombre de host del servidor DNS
Para cumplir con PCI, debe ocultar el nombre de host de su servidor DNS.
Para hacer esto, siga los siguientes pasos:
Conéctese al servidor a través de SSH como
root
usuario.Editar
/etc/named.conf
y agregue la siguiente línea de código a la sección de opciones:Utilice el siguiente comando para reiniciar BIND:
/usr/local/cpanel/scripts/restartsrv_named
Vuelva a escanear su servidor con su cuenta en el sitio web de la empresa PCI.
Cartero
Puede deshabilitar completamente Mailman cuando busca conformidad con PCI.
Para deshabilitar Mailman, realice los siguientes pasos:
Inicie sesión en WHM como usuario root.
En el Correo sección de la Ajustar la configuración interfaz (WHM >> Inicio >> Configuración del servidor >> Ajustar la configuración), selecciona el Habilitar listas de distribución de Mailman ajuste a Apagado.
Hacer clic Ahorrar.
Si lo haces no desea deshabilitar Mailman, realice los siguientes pasos para pasar un escaneo de cumplimiento de PCI:
Inicie sesión en el servidor como
root
usuario a través de SSH.Cree el siguiente archivo para denegar las solicitudes web para Mailman:
/usr/local/cpanel/3rdparty/mailman/cgi-bin/.htaccess
El contenido del archivo debería ser similar al siguiente ejemplo:
1 2 3 4 5 6 7 8 9
<Limit GET POST> order deny, allow <deny from all> </Limit> <Limit PUT DELETE> order deny, allow <deny from all> </Limit>
Vuelva a escanear su servidor con su cuenta en el sitio web de la empresa PCI.
Configuración de cookies inseguras
Durante un escaneo de cumplimiento de PCI, su sistema puede indicar que sus aplicaciones web contienen cookies inseguras. Si su sistema contiene cookies inseguras, es posible que vea el siguiente error:
A Cookie Vulnerability helps an attacker to gain access to session information stored in cookies. It may also be