我正在尝试使 PCI 兼容,而 PCI 扫描公司正在标记我们的 Ubuntu 12.04 PHP 5.3.10-1ubuntu3.9 为 CVE-2013-1635。根据http://people.canonical.com/~ubuntu-security/cve/2013/CVE-2013-1635.html Ubuntu 的响应是“我们不支持 open_basedir 的用户”并且所有版本都被标记为忽略.
我不知道在这里做什么。我已将我的扫描公司指向同一个 URL,但他们不接受并回答。
我该怎么办?
更新
我不使用此功能,并且在 php.ini 中禁用了 open_basedir 指令。然而,他们并不认为这是一个合适的解决方案。
以下是他们对否认我的争议的回应:
我们根据提供的有关如何解决此发现的信息否认了此争议。已发现当前在此系统上运行的 PHP 版本无法正确清理用户提供的输入。尽管在此系统上禁用了“open_basedir”,但攻击者可以利用此问题并在受影响的应用程序的上下文中写入 wsdl 文件。此外,已经发现其他攻击也是可能的。因此,“soap.wsdl_cache_dir”指令设置 SOAP 扩展将放置缓存文件的目录名称。禁用“open_basedir”并没有 1) 删除已经存在的缓存文件和/或 2) 停止将新缓存文件放入任意目录的可能性。
请查看https://www.pcisecuritystandards.org/security_standards/glossary.php#Compensating%20Controls以了解补偿控制的定义。除其他事项外,“补偿控制必须:......“超出”其他 PCI DSS 要求(不仅仅是符合其他 PCI DSS 要求)”,并且禁用“open_basedir”并没有真正超越,根本问题应该真的在这里解决。同样,扫描报告中列出的要求是升级系统或利用提到的补偿控制(在这种情况下,禁用 open_basedir 是不够的)。
在 PCI DSS 合规范围内的系统上检测到的任何问题都需要修复所有 PCI 不合规问题(即涉及信用卡持有人数据的存储、处理和/或传输的任何系统以及任何直接连接到此类过程中涉及的网络,而该网络没有适当的网络分段)。
请查看扫描报告并按照“修复”列下方的建议进行操作,然后在修复漏洞后执行另一次扫描以清除下一次扫描报告中的发现。
如果在此之后继续检测到漏洞和/或如果您已经执行了此操作,请随时重新对该漏洞提出争议并解释为解决该发现而执行的操作。