您好,我的 Azure Web 应用程序(dotnet core 3.1)在几天前一直为 PCI 合规性提供绿旗。 但是,我收到了一封来自认证的电子邮件,指出该应用程序不再兼容 PCI,并包含以下两条消息。
标题: Microsoft IIS httpd 10.0 基于 CPE 的漏洞 影响:已发现一个或多个影响此服务的漏洞。请参阅相关 CVE 了解更多详细信息。
解决方案:将最新的供应商补丁应用于在端口 80 和端口 443 上运行的 Microsoft IIS httpd 10.0 服务
CVE ----------------| 得分
CVE-2008-4301 10.0
CVE-2008-4300 5.0
CVE-2013-2566 4.3
CVE-2015-2808 4.3
这很令人困惑,因为没有对 Web 应用程序或 Azure 设置进行任何更改。他们建议的解决方案是对 Microsoft IIS 应用最新的供应商补丁,我认为只有当应用程序在 VM 上运行时才可能实现,而我的应用程序是一个简单的 Azure 应用服务。
最佳答案
我们还使用安全指标来扫描我们的网站。今天下午我们就同一问题给他们打电话。他们要求我们向他们发送 IIS 管理器版本页面的屏幕截图,以便他们可以验证我们正在运行当前版本。他们会将其添加到我们帐户的漏洞扫描部分的“误报”选项卡中。
您必须调用他们的帮助热线 801-705-5700,以便他们与您合作设置误报(异常(exception))。他们会询问一些有关您帐户的问题,以验证您是否在该公司工作,并提供回电号码、姓名、职位。
关于Microsoft IIS httpd 10.0 基于 Azure PCI 合规性 CPE 的漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65379637/