Привет! Cloud Key Firmware UCK.mtk7623.v0.5.9.6794855.161129.1409
У нас два объекта: на одном статический IP и cloud key, и мы хотим объединить всё оборудование Unifi под одним выделенным cloud key.
Для этого добавили правило в файрволле, чтобы разрешить запросы inform от оборудования Unifi на удалённом объекте.
Но, как оказалось, версия Tomcat на CloudKey — именно та, которую PCI-DSS квартальный сканер, который мы обязаны проходить, считает высокой угрозой.
Ниже — детали провала по PCI-DSS тесту.
Есть идеи? Подозреваю, что скоро найдут, что смена порта проблему не решит.
Спасибо,
Том
СВОДКА УГРОЗ (THREAT REFERENCE):
Уязвимая версия Apache Tomcat: 7.0.70
Риск: высокий (3)
Порт: 8080/tcp
Протокол: tcp
ID угрозы: web_dev_tomcatver
Подробности: Уязвимость XSS на странице ошибки 404
Дата: 21.12.2009
Apache Tomcat подвержен XSS-уязвимости, так как не очищает корректно ввод пользователя.
Злоумышленник может использовать это для выполнения произвольного скрипта в браузере ничего не подозревающего пользователя на сайте, который работает на этом сервере.
Множество исправлений в версиях 6.0.47, 7.0.72, 8.0.38, 8.5.6 и 9.0.0.
CVE: 2016-0762, 2016-5018, 2016-6794, 2016-6796, 2016-6797
Версии Apache Tomcat с 6.0.0 до 6.0.45, 7.0.0 до 7.0.70, 8.0.0.RC1 до 8.0.36, 8.5.0 до 8.5.4, и 9.0.0.M1 до 9.0.0.M9 имеют несколько уязвимостей:
- Атака по времени из-за ошибки в процессе аутентификации Tomcat Realm.
- Обход Security Manager путём манипуляции параметрами конфигурации для JSP сервлета или через служебные методы Tomcat.
- Раскрытие системных свойств из-за ошибок в механизме замены свойств в конфигурационных файлах Tomcat.
- Неограниченный доступ к глобальным ресурсам из-за ошибки в ResourceLinkFactory.
- Уязвимость в init-скрипте Apache Tomcat (19.09.2016) — возможное локальное повышение привилегий по причине небезопасной работы с файлами логов.
- Проблема HTTP_PROXY (httpoxy) — уязвимость, позволяющая злоумышленникам с помощью специально сформированного HTTP Proxy заголовка перенаправлять исходящий HTTP-трафик приложения через произвольный прокси.
Информация с цели:
Сервис: 8080/TCP
[Вывод ошибки сервера Apache Tomcat/7.0.70]
---
Если коротко: ваша версия Tomcat устарела и уязвима, что вызывает серьезные проблемы с безопасностью по требованиям PCI-DSS. Переключение порта — это лишь временная мера, лучше обновить прошивку или заменить Tomcat на безопасную версию.
У нас два объекта: на одном статический IP и cloud key, и мы хотим объединить всё оборудование Unifi под одним выделенным cloud key.
Для этого добавили правило в файрволле, чтобы разрешить запросы inform от оборудования Unifi на удалённом объекте.
Но, как оказалось, версия Tomcat на CloudKey — именно та, которую PCI-DSS квартальный сканер, который мы обязаны проходить, считает высокой угрозой.
Ниже — детали провала по PCI-DSS тесту.
Есть идеи? Подозреваю, что скоро найдут, что смена порта проблему не решит.
Спасибо,
Том
СВОДКА УГРОЗ (THREAT REFERENCE):
Уязвимая версия Apache Tomcat: 7.0.70
Риск: высокий (3)
Порт: 8080/tcp
Протокол: tcp
ID угрозы: web_dev_tomcatver
Подробности: Уязвимость XSS на странице ошибки 404
Дата: 21.12.2009
Apache Tomcat подвержен XSS-уязвимости, так как не очищает корректно ввод пользователя.
Злоумышленник может использовать это для выполнения произвольного скрипта в браузере ничего не подозревающего пользователя на сайте, который работает на этом сервере.
Множество исправлений в версиях 6.0.47, 7.0.72, 8.0.38, 8.5.6 и 9.0.0.
CVE: 2016-0762, 2016-5018, 2016-6794, 2016-6796, 2016-6797
Версии Apache Tomcat с 6.0.0 до 6.0.45, 7.0.0 до 7.0.70, 8.0.0.RC1 до 8.0.36, 8.5.0 до 8.5.4, и 9.0.0.M1 до 9.0.0.M9 имеют несколько уязвимостей:
- Атака по времени из-за ошибки в процессе аутентификации Tomcat Realm.
- Обход Security Manager путём манипуляции параметрами конфигурации для JSP сервлета или через служебные методы Tomcat.
- Раскрытие системных свойств из-за ошибок в механизме замены свойств в конфигурационных файлах Tomcat.
- Неограниченный доступ к глобальным ресурсам из-за ошибки в ResourceLinkFactory.
- Уязвимость в init-скрипте Apache Tomcat (19.09.2016) — возможное локальное повышение привилегий по причине небезопасной работы с файлами логов.
- Проблема HTTP_PROXY (httpoxy) — уязвимость, позволяющая злоумышленникам с помощью специально сформированного HTTP Proxy заголовка перенаправлять исходящий HTTP-трафик приложения через произвольный прокси.
Информация с цели:
Сервис: 8080/TCP
[Вывод ошибки сервера Apache Tomcat/7.0.70]
---
Если коротко: ваша версия Tomcat устарела и уязвима, что вызывает серьезные проблемы с безопасностью по требованиям PCI-DSS. Переключение порта — это лишь временная мера, лучше обновить прошивку или заменить Tomcat на безопасную версию.