问题描述
嗨,我的 azure Web 应用程序(dotnet core 3.1)在几天前一直为 PCI 合规性发出绿旗。 但是,我收到了一封来自认证的电子邮件,说明该应用程序不再兼容 PCI,并附有以下两条消息。
标题: Microsoft IIS httpd 10.0 基于 CPE 的漏洞 影响:已发现一个或多个影响此服务的漏洞。有关详细信息,请参阅相关 CVE。
解决方案:将最新的供应商补丁应用于在端口 80 和端口 443
上运行的 Microsoft IIS httpd 10.0 服务CVE ----------------| 得分
CVE-2008-4301 10.0
CVE-2008-4300 5.0
CVE-2013-2566 4.3
CVE-2015-2808 4.3
这令人困惑,因为没有对 Web 应用程序或 Azure 设置进行任何更改。他们建议的解决方案是将最新的供应商补丁应用于 Microsoft IIS,我认为只有当应用程序在 VM 上运行时才有可能,而我的应用程序是一个简单的 Azure 应用程序服务。
解决方法
我们还使用安全指标来扫描我们的网站。我们今天下午就这个问题给他们打了电话。他们要求我们向他们发送 IIS 管理器版本页面的屏幕截图,以便他们可以验证我们正在运行当前版本。他们会将此添加到我们帐户的“漏洞扫描”部分的“误报”选项卡中。
您必须拨打他们的帮助热线 801-705-5700,以便他们与您合作设置误报(例外)。他们会询问有关您帐户的几个问题,以验证您是否在该公司以及回电号码、姓名、职位。