PCI DSS準拠

high Nessus プラグイン ID 33929

概要

リモートホストがPCI DSS外部スキャン要件に準拠していないことが判明しています。

説明

PCI DSS Approved Scanning Vendors Program Guide(バージョン 3.1)によると、リモートホストは「自動的な障害」と見なされる1つ以上の状態に対して脆弱です。以下の1つ以上がこのような障害に該当します。

- CVSSベーススコアが次のスコア以上である脆弱性:4.0

- サポートされていないオペレーティングシステム

- インターネットで到達可能なデータベースサーバー(カード所有者のデータが保存されているかどうかを検証する必要があります)

- ビルトインアカウントまたはデフォルトアカウントの存在

- 無制限のDNSゾーン転送

- SQLインジェクション攻撃を引き起こす未検証のパラメーター

- クロスサイトスクリプティング(XSS)の欠陥

- ディレクトリトラバーサル脆弱性

- HTTP応答分割/ヘッダーインジェクション

- バックドアアプリケーション(マルウェア、トロイの木馬、ルートキット、バックドア)の検出

- 安全でない古いバージョンのSSL/TLSの使用(最小標準はTLSv1.2)

- 匿名鍵交換プロトコル(SSL/TLSでの匿名ディフィー・ヘルマンなど)の使用

- スキャン干渉

エラーが発生した項目の詳細は、このプラグインの結果の「出力」セクションで見つかる場合があります。四半期の外部スキャン要件を満たすためのTenableによる検証を受けるためにスキャン結果を送信する前に、これらの脆弱性および/またはエラー状態を修正する必要があります。

Tenable.ioを使用してこのスキャンを実行し、結果に同意しない場合(誤検出があると考える場合)、または脆弱性を緩和するために補正コントロールを使用する必要がある場合には、[Submit for PCI(PCIのために送信)]をクリックしてこのレポートをPCI-ASVワークベンチに送信できます。Tenable.ioでTenable PCI-ASVワークベンチにログインし、残りの検出事項のそれぞれについて異議を唱えるか、または緩和の証拠を提出することができます。

ソリューション

Ensure compliance with PCI DSS Approved Scanning Vendors Program Guide (version 4.0)

参考資料

https://www.pcisecuritystandards.org

プラグインの詳細

深刻度: High

ID: 33929

ファイル名: pci_compliance.nbin

バージョン: 1.140

タイプ: summary

ファミリー: Policy Compliance

公開日: 2008/8/7

更新日: 2024/3/19

サポートされているセンサー: Nessus

脆弱性情報

除外される KB アイテム: Settings/PCI_DSS_local_checks