Versiones de software y cumplimiento de PCI

Última modificación: 30 de junio de 2021

Visión general

La mayoría de los sistemas de escaneo de cumplimiento de PCI utilizan un número de versión de paquete de software específico que contiene una vulnerabilidad reportada. Este documento analiza algunos de los paquetes de software específicos que contienen vulnerabilidades conocidas. Este documento también le ayudará a determinar si los desarrolladores utilizaron el proceso de backport para parchear un paquete de software.

¿Qué es el backporting?

El proceso de backport permite al proveedor del sistema operativo cambiar solo las partes del software afectadas por la vulnerabilidad de seguridad. De esta forma, evita la introducción de nuevas funcionalidades que los desarrolladores no probaron. Este proceso no incrementa el número de versión. En cambio, los desarrolladores adjuntan una bandera al paquete.

Los desarrolladores de sistemas operativos a menudo respaldan las actualizaciones para evitar la necesidad de distribuir una nueva versión del paquete de software.

Por ejemplo, un desarrollador de sistema operativo puede combinar OpenSSL 0.9.7c con un parche de OpenSSL 0.9.7.d para crear OpenSSL 0.9.7c-2. Si la mayoría de los sistemas de escaneo PCI buscan OpenSSL versión 0.9.7d o superior, pueden mostrar incorrectamente OpenSSL 0.9.7c-2 como vulnerable. En este caso, deberá informar a la empresa de cumplimiento de PCI que utiliza una versión con copia de seguridad del paquete de software, que sus desarrolladores parchearon para la vulnerabilidad. Su empresa de cumplimiento de PCI puede registrar la versión de su software y marcar un falso positivo en los resultados del análisis.

OpenSSL

Muchos paquetes y servicios del sistema diferentes utilizan OpenSSL. Para verificar su instalación de OpenSSL para backporting, realice los siguientes pasos:

1. Determine qué paquete de OpenSSL existe en su sistema. Para hacer esto, ejecute el siguiente comando:

   La siguiente salida de ejemplo indica que su servidor ejecuta la versión openssl-0.9.8e-36 de OpenSSL:

   1 2	openssl-0.9.8e-36.el5_11 openssl-0.9.8e-36.el5_11

2. Para verificar el registro de cambios de RPM en busca de correcciones de vulnerabilidad que incluye la versión, ejecute el siguiente comando:

   rpm --changelog -q openssl-0.9.8b-10.el5 | less

3. El registro de cambios de RPM puede incluir arreglos para los CVE que requiere su empresa de escaneo de cumplimiento de PCI. Si aparecen estas correcciones, infórmeles de la versión parcheada y qué CVE incluye para que puedan marcarla como un falso positivo.

SSLCipherSuite

los SSLCipherSuite directiva en el configuración global sección de WHM Configuración de Apache interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache) tiene como valor predeterminado un valor compatible con PCI a partir de la versión 66 de cPanel & WHM.

Si desea ajustar la directiva SSLCipherSuite, le recomendamos que genere una configuración de cifrado con Generador de configuración SSL de Mozilla.

Si ha ajustado el valor de la directiva SSLCipherSuite y los escaneos de cumplimiento de PCI del puerto 443 hacer no pasar, restablecer el SSLCipherSuite directiva en el configuración global sección de WHM Configuración de Apache interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración de Apache) a la configuración predeterminada.

OpenSSH

Para determinar qué paquete OpenSSH existe en su sistema, ejecute el siguiente comando:

La salida puede parecerse al siguiente ejemplo:

1
2
3

openssh-clients-5.3p1-94.el6.i686
openssh-server-5.3p1-94.el6.i686
openssh-5.3p1-94.el6.i686

Esta salida indica que openssh-5.3pl-94.e16 existe como su versión de OpenSSH. Esta versión de OpenSSH puede resultar en un escaneo PCI que devuelve las siguientes dos vulnerabilidades:

• OpenSSH J-PAKE Vulnerabilidad de recuperación de claves de sesión: este problema no no afectan a OpenSSH como se envía con RedHat Enterprise Linux® (RHEL) versiones 6 y 7. Para obtener más información, lea CVE-2010-4478 en el sitio web de RedHat.

• OpenSSH "child_set_env()" Problema de omisión de seguridad: este problema afecta mínimamente la seguridad y no no plantean un riesgo severo para la mayoría de los sistemas. Aunque esta versión 6.6 de OpenSSH solucionó este problema, los repositorios RHEL no no contienen esta versión actualizada. Si desea actualizar OpenSSH a la nueva versión, debe instalarlo manualmente.

Si el paquete OpenSSH 6.6.1p1-35.el7_3 existe en su servidor, su salida se parecerá al siguiente ejemplo:

1
2
3

openssh-6.6.1p1-35.el7_3.x86_64
openssh-server-6.6.1p1-35.el7_3.x86_64
openssh-clients-6.6.1p1-35.el7_3.x86_64

Este paquete OpenSSH contiene una vulnerabilidad que afecta la forma en que maneja la autenticación por parte de usuarios que no existen en el sistema. Para mitigar este problema, habilite el módulo de seguridad de Linux con seguridad mejorada (SELinux) que se envía con las versiones 6 y 7 de RHEL.

Para obtener más información sobre esta vulnerabilidad, lea CVE-2016-6210 en el sitio web de RedHat.

El demonio SSH

El cumplimiento de PCI requiere el demonio SSH (sshd) para apoyar algoritmos de hashtag sólidos. Al revisar un escaneo PCI, uno de los problemas comunes es que el SSHD admite algoritmos de hash débiles. La mayoría de las veces, este problema puede ocurrir cuando un servidor usa la configuración SSHD predeterminada. Para resolver este problema, realice los siguientes pasos:

1. Inicie sesión en el servidor como root usuario a través de SSH.

2. Abre el /etc/ssh/sshd_config archivo con un editor de texto.

3. Agregue las siguientes líneas al archivo:

   1 2 3 4 5

   KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256 Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

4. Reinicie el demonio SSH. Para hacer esto, ejecute el siguiente comando:

   /usr/local/cpanel/scripts/restartsrv_sshd

5. Vuelva a escanear su servidor con su cuenta en el sitio web de la empresa PCI.

Exim

cPanel & WHM incluye parches que ayudan a que Exim sea compatible con PCI. El registro de cambios de RPM incluye información sobre estos parches.

Protocolo simple de transferencia de correo

El cumplimiento de PCI requiere cifrado del cliente de correo. Su cliente de correo proporciona cifrado SSL y TLS. Para confirmar que las transacciones SMTP de su servidor permanecen cifradas, realice los siguientes pasos como root usuario:

1. Navega al Administrador de configuración de Exim interfaz (WHM >> Inicio >> Configuración del servicio >> Administrador de configuración de Exim).

2. Habilite el Solicite a los clientes que se conecten con SSL o emita el comando STARTTLS antes de que se les permita autenticarse con el servidor. opción.

   Nota:

   A partir de la versión 66 de cPanel y WHM, esta opción tiene como valor predeterminado Sobre.

3. Hacer clic Ahorrar.

4. Navega al Configuración del servidor de correo interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración del servidor de correo)

5. Selecciona el Permitir la autenticación de texto sin formato (desde clientes remotos) opción a No.

6. Hacer clic Ahorrar.

CVE respaldados

Para ver las correcciones relacionadas con CVE en su versión de Exim, ejecute el siguiente comando:

rpm -q --changelog exim | grep CVE

La salida mostrará el número CVE, por ejemplo:

1
2
3
4
5
6

fix for CVEs CVE-2010-2024, CVE-2010-2023
Update CVE-2011-0017 patch to fix use of -C flag by unprivileged users.
CVE-2011-0017: Backport patch from EXIM 4.74 for arbitrary file overwrite bug.
CVE-2010-4344: Apply string_format buffer overflow patch
CVE-2010-4345: Compile with ALT_CONFIG_PREFIX=/etc/exim
CVE-2010-4345: Compile with ALT_CONFIG_PREFIX=/etc

Para informar las correcciones de CVE que incluye su instalación de Exim, envíe la salida que refleja el software parcheado a su empresa de escaneo PCI.

FTP

Nosotros fuertemente Recomendamos que desactive los servicios FTP y utilice SFTP, SCP o WebDisk para transferencias de archivos.

Si tu no poder deshabilitar los servicios FTP, le recomendamos que utilice WHM Selección de servidor FTP interfaz (WHM >> Inicio >> Configuración del servicio >> Selección del servidor FTP) para configurar su servidor para que utilice ProFTPD.

Entonces, use WHM’s Configuración del servidor FTP interfaz (WHM >> Inicio >> Configuración del servicio >> Configuración del servidor FTP) para configurar ProFTPD para usar el siguiente paquete de cifrado TLS:

TLSCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

TLS

El cumplimiento de PCI requiere que su servidor ejecute TLS versión 1.2 o superior. Para obtener más información, lea el Security Standards Council’s® Cambio de fecha para la migración desde SSL y TLS temprana artículo y nuestro obsoleto documentación.

Unir

Aunque cPanel & WHM no crea BIND, todos los servidores de cPanel & WHM incluyen BIND por defecto. Las actualizaciones de los proveedores normalmente resolverán los problemas de cumplimiento de PCI.

ENLACE CVE-2011-4313

El registro de cambios de BIND no se muestra CVE-2011-4313 directamente. En cambio, el registro de cambios se muestra debajo RHEL #754398.

Ejecute el siguiente comando para probar la presencia de esta solución:

rpm -q --changelog bind | grep 754398

Su salida debe parecerse al siguiente ejemplo:

- fix DOS against recursive servers (#754398)

Para informar las correcciones de CVE que incluye su instalación de BIND, envíe la salida que refleja el software parcheado a la empresa de escaneo PCI.

Ocultar la versión BIND

Para cumplir con PCI, debe ocultar la versión BIND en su servidor.

Para hacer esto, siga los siguientes pasos:

1. Conéctese al servidor a través de SSH como root usuario.

2. Edite el /etc/named.conf archivo y agregue la siguiente línea de código a la sección de opciones:

3. Utilice el siguiente comando para reiniciar BIND:

   /usr/local/cpanel/scripts/restartsrv_named

4. Vuelva a escanear su servidor con su cuenta en el sitio web de la empresa PCI.

Ocultar el nombre de host del servidor DNS

Para cumplir con PCI, debe ocultar el nombre de host de su servidor DNS.

Para hacer esto, siga los siguientes pasos:

1. Conéctese al servidor a través de SSH como root usuario.

2. Editar /etc/named.conf y agregue la siguiente línea de código a la sección de opciones:

3. Utilice el siguiente comando para reiniciar BIND:

   /usr/local/cpanel/scripts/restartsrv_named

4. Vuelva a escanear su servidor con su cuenta en el sitio web de la empresa PCI.

Cartero

Puede deshabilitar completamente Mailman cuando busca conformidad con PCI.

Para deshabilitar Mailman, realice los siguientes pasos:

1. Inicie sesión en WHM como usuario root.

2. En el Correo sección de la Ajustar la configuración interfaz (WHM >> Inicio >> Configuración del servidor >> Ajustar la configuración), selecciona el Habilitar listas de distribución de Mailman ajuste a Apagado.

3. Hacer clic Ahorrar.

Si lo haces no desea deshabilitar Mailman, realice los siguientes pasos para pasar un escaneo de cumplimiento de PCI:

1. Inicie sesión en el servidor como root usuario a través de SSH.

2. Cree el siguiente archivo para denegar las solicitudes web para Mailman:

   /usr/local/cpanel/3rdparty/mailman/cgi-bin/.htaccess

   El contenido del archivo debería ser similar al siguiente ejemplo:

   1 2 3 4 5 6 7 8 9

   <Limit GET POST> order deny, allow <deny from all> </Limit> <Limit PUT DELETE> order deny, allow <deny from all> </Limit>

3. Vuelva a escanear su servidor con su cuenta en el sitio web de la empresa PCI.

Configuración de cookies inseguras

Durante un escaneo de cumplimiento de PCI, su sistema puede indicar que sus aplicaciones web contienen cookies inseguras. Si su sistema contiene cookies inseguras, es posible que vea el siguiente error:

A Cookie Vulnerability helps an attacker to gain access to session information stored in cookies. It may also be