website Vulnerability report

it depends.  You say published through the utm.  are you using webserver protection of the utm or simply forwarding the traffic to your webservers?

if the first then you have a misconfiguration.  if the second the issue it on your servers not the utm.  You need to secure the webserver itself..that is not something the utm can do in the second scenario.

Hi, jr, and welcome to the user BB!

You really need to have your reseller get a case open with Sophos Support.  I think this is as simple as adding a line with TraceEnable off to httpd.conf, but I wouldn't recommend that a newbie start playing at the command line on your own.  It's for that reason I haven't mentioned where the file is located.

In any case, we need to hold Sophos' feet to the fire on this one.

Please vote for: Provide the option in web interface to deactivate the http-trace-method in apache-configuration with "TraceEnable off".

Cheers - Bob

hey bob if he is simply forwarding the traffic that's not the UTM's fault..[:)]

William, I just assumed he was using the reverse proxy.  If he's not then you're right!

Cheers - Bob

Thanks for the replies. I am using the sophos as a reverse proxy for the websites and I'm using the advance protection in the firewall profiles for my websites. I'm not quite sure what I would have misconfigured

I'm going to opening a support case through my reseller for this too. I've also thought about adding the traceenable off to the httpd.conf file but I didn't want to do that without sophos at least looking at the problem first.

Ok if you are going through the UTM then start a support ticket...Bob's pointing to that feature request is an indicator there's a problem..[:)]  However I would check your internal webservers to make sure they do not have this trace method turned on.

Glad I found this.  I'm also testing Sophos UTM as a solution to replace MS TMG for reverse proxying websites and I've had a PCI failure because Track and Trace were enabled.
If Sophos UTM can't block Track and Trace then it's likely that we will have to shelve the idea of using them to reverse proxy internal websites.
EDIT: Track and Trace were disabled on the web server after being identified in a previous PCI audit so this issue is that they are enabled on the UTM itself.  I've added my name to the product change request to be able to disable this in webadmin  [:)]

That's odd if they are disabled on the web server itself you shouldn't be seeing it as a failure.

We also had this and it was resolved on the web server as well.

I believe there is a protection option in the firewall profile called 'Outbound' ticking this stops the web server leaking out any info, however you should test as it may break functionality.

What version of the Sophos UTM system software are you using causing the PCI/vuln scan failures?

I'm having a hard time recreating the scenario here...

For reference, have setup a HTTP webserver, of which the web server does not allow TRACE.

DNAT to the system show an error message when the Trace test is issued.

However, disabling the NAT rule, and then publishing the site through the Sophos WAF, with NO FIREWALL profile or Reverse Auth profile, and attempting to issue the TRACE command I get an immediate 'Connection Closed' response.

I added TraceEnable off to the end of the httpd.conf file and my UTM passed the PCI scan.