修复漏洞

操作场景

当扫描到服务器存在漏洞时，您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞，避免漏洞被入侵者利用入侵您的服务器。

如果漏洞对您的业务可能产生危害，建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞，您可以在主机安全服务控制台一键自动修复漏洞，对于Web-CMS漏洞、应用漏洞和应急漏洞，暂不支持自动修复，您可以参考漏洞详情界面提供的修复建议手动修复漏洞。

约束限制

• 目标服务器“服务器状态”为“运行中”，“Agent状态”为“在线”，“防护状态”为“防护中”。

操作风险

• 执行主机漏洞修复可能存在漏洞修复失败导致业务中断，或者中间件及上层应用出现不兼容等风险，并且无法进行回滚。为了防止出现不可预料的严重后果，建议您通过云服务器备份（CSBS）为ECS创建备份。然后，使用空闲主机搭建环境充分测试，确认不影响业务正常运行后，再对主机执行漏洞修复。

通过控制台修复漏洞

仅Linux软件漏洞和Windows系统漏洞支持使用控制台的漏洞修复功能。

1. 登录管理控制台。
2. 单击页面左上方的，选择“安全 > 安全云脑 SecMaster”，进入安全云脑管理页面。
3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。
   图1 进入目标工作空间管理页面
   

4. 在安全云脑管理页面选择“风险预防 > 漏洞管理”，进入漏洞管理页面。
   图2 进入漏洞管理页面
   

5. 在漏洞管理界面，选择“Linux漏洞”、“Windows漏洞”任意一个页签，进入对应漏洞管理页面。
6. 在漏洞列表中，单击目标漏洞名称，右侧弹出漏洞信息页面。
7. 在漏洞信息页面中，选择“受影响资产”页签，并在资产列表中，单击待处理资产所在行“操作”列的“修复”，系统提示修复操作触发成功。

   如需批量修复，可以勾选所有需要修复的资产，然后在列表左上角，单击“批量修复”。

8. 漏洞修复完成后，如果修复成功，修复状态将变更为“修复成功”。如果修复失败，修复状态将变更为“修复失败”。
   

   “Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则系统仍可能为您推送漏洞消息。

手动修复系统软件漏洞

对于Web-CMS漏洞、应用漏洞，不支持一键自动修复，您可以参考漏洞详情页面的修复建议，登录服务器手动修复。

• 漏洞修复命令

  进入到漏洞的基本信息页，可根据修复建议修复已经被识别出的漏洞，漏洞修复命令可参见表1。

  

  • “Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启，否则系统仍可能为您推送漏洞消息。
  • 不同的漏洞请根据修复建议依次进行修复。
  • 如果同一主机上的多个软件包存在同一漏洞，您只需修复一次即可。

  表1 漏洞修复命令

  操作系统	修复命令
  CentOS/Fedora /Euler/Redhat/Oracle	yum update 软件名称
  Debian/Ubuntu	apt-get update && apt-get install 软件名称 --only-upgrade
  Gentoo	请参见漏洞修复建议。

• 漏洞修复方案

  漏洞修复有可能影响业务的稳定性，为了防止在修复漏洞过程影响当前业务，建议参考以下两种方案，选择其中一种执行漏洞修复：

  • 方案一：创建新的虚拟机执行漏洞修复
    1. 为需要修复漏洞的ECS主机创建镜像。
    2. 使用该镜像创建新的ECS主机。
    3. 在新启动的主机上执行漏洞修复并验证修复结果。
    4. 确认修复完成之后将业务切换到新主机。
    5. 确定切换完成并且业务运行稳定无故障后，可以释放旧的主机。如果业务切换后出现问题且无法修复，可以将业务立即切换回原来的主机以恢复功能。
  • 方案二：在当前主机执行修复
    1. 为需要修复漏洞的ECS主机创建备份。
    2. 在当前主机上直接进行漏洞修复。
    3. 如果漏洞修复后出现业务功能问题且无法及时修复，立即使用备份恢复功能将主机恢复到修复前的状态。
  

  • 方案一适用于第一次对主机漏洞执行修复，且不确定漏洞修复的影响。
  • 方案二适用于已经有同类主机执行过修复，漏洞修复方案已经比较成熟可靠的场景。

修复验证

漏洞修复后，建议您立即进行验证。