Microsoft IIS httpd 10.0 的基于 Azure PCI 合规性 CPE 的漏洞
Azure PCI Compliance CPE Based Vulnerabilities for Microsoft IIS httpd 10.0
嗨,我的 azure web 应用程序 (dotnet core 3.1) 几天前一直在为 PCI 合规性发出绿旗。
但是,我收到了一封来自认证的电子邮件,其中指出该应用程序不再与 PCI 兼容,并附有以下两条消息。
标题: Microsoft IIS httpd 10.0 基于 CPE 的漏洞
影响: 已发现一个或多个影响此服务的漏洞。请参阅相关 CVE 了解更多详情。
解决方案: 将最新的供应商补丁应用到 Microsoft IIS httpd 10.0 服务 运行 端口 80 和端口 443
CVE --------------| 得分
CVE-2008-4301 10.0
CVE-2008-4300 5.0
CVE-2013-2566 4.3
CVE-2015-2808 4.3
这令人困惑,因为没有对 Web 应用程序或 Azure 设置进行任何更改。他们建议的解决方案是将最新的供应商补丁应用到 Microsoft IIS,我认为只有当应用程序在 VM 上 运行 时才有可能,而我的应用程序是一个简单的 Azure 应用程序服务。
我们还使用安全指标来扫描我们的网站。我们今天下午就同一问题给他们打电话。他们要求我们向他们发送 IIS 管理器版本页面的屏幕截图,以便他们可以验证我们的版本 运行 是最新的。他们会将其添加到我们帐户漏洞扫描部分的“误报”选项卡中。
您必须拨打他们的帮助热线 801-705-5700,他们才能与您一起设置误报(例外)。他们会问几个关于您帐户的问题,以验证您是否在公司工作,并提供回电号码、姓名、职位。
嗨,我的 azure web 应用程序 (dotnet core 3.1) 几天前一直在为 PCI 合规性发出绿旗。 但是,我收到了一封来自认证的电子邮件,其中指出该应用程序不再与 PCI 兼容,并附有以下两条消息。
标题: Microsoft IIS httpd 10.0 基于 CPE 的漏洞 影响: 已发现一个或多个影响此服务的漏洞。请参阅相关 CVE 了解更多详情。
解决方案: 将最新的供应商补丁应用到 Microsoft IIS httpd 10.0 服务 运行 端口 80 和端口 443
CVE --------------| 得分
CVE-2008-4301 10.0
CVE-2008-4300 5.0
CVE-2013-2566 4.3
CVE-2015-2808 4.3
这令人困惑,因为没有对 Web 应用程序或 Azure 设置进行任何更改。他们建议的解决方案是将最新的供应商补丁应用到 Microsoft IIS,我认为只有当应用程序在 VM 上 运行 时才有可能,而我的应用程序是一个简单的 Azure 应用程序服务。
我们还使用安全指标来扫描我们的网站。我们今天下午就同一问题给他们打电话。他们要求我们向他们发送 IIS 管理器版本页面的屏幕截图,以便他们可以验证我们的版本 运行 是最新的。他们会将其添加到我们帐户漏洞扫描部分的“误报”选项卡中。
您必须拨打他们的帮助热线 801-705-5700,他们才能与您一起设置误报(例外)。他们会问几个关于您帐户的问题,以验证您是否在公司工作,并提供回电号码、姓名、职位。