文档首页/ 企业主机安全 HSS/ 常见问题/ 漏洞管理/ 漏洞修复失败怎么办?
更新时间:2024-11-15 GMT+08:00

漏洞修复失败怎么办?

如果在企业主机安全控制台修复Linux和Windows系统漏洞时失败,请参考本文进行排查处理。

查看漏洞修复失败原因

  1. 登录管理控制台
  2. 在页面左上角选择“区域”,单击,选择“安全与合规 > 企业主机安全”,进入主机安全平台界面。
  3. 在左侧导航树中,选择风险预防 > 漏洞管理,进入漏洞管理界面。

    如果您的服务器已通过企业项目的模式进行管理,您可选择目标“企业项目”后查看或操作目标企业项目内的资产和检测信息。

  4. “漏洞管理”界面右上角,单击“任务管理”,进入任务管理页面。
  5. 选择“修复任务”页签,查看漏洞修复结果。
  6. 在目标漏洞修复任务所在行的“操作”列,单击“查看失败原因”,查看服务器修复失败的“失败原因”“原因说明”

    您可以根据失败原因,参考Linux漏洞修复失败原因及解决方法Windows漏洞修复失败原因及解决方法处理漏洞修复失败问题。

Linux漏洞修复失败原因及解决方法

  • CCE 、MRS、BMS的主机不能修复内核漏洞,贸然修复可能导致功能不可用。
  • Kernel类的漏洞修复完成后,需要重启主机,不重启主机漏洞仍会显示存在。
  • 失败原因只截取了部分关键字段,具体信息请以企业主机安全控制台显示为准。

失败原因

原因说明

解决办法

timeout

修复超时

请等待1小时后重试修复漏洞。如果仍然修复超时,请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。

This agent version does not support vulnerability verification

Agent版本太低

服务器安装的Agent版本过低,请升级Agent后进行漏洞修复。

Agent status is not normal

Agent状态异常

Agent已离线,无法完成漏洞修复。请参考Agent状态异常应如何处理?使Agent状态恢复正常后,进行漏洞修复。

Error: software have multiple versions

存在漏洞的软件版本未删除

  • 如果是普通软件出现此问题,可以删除旧版本包,重新检测漏洞是否存在。
    执行以下命令测试删除旧版本包有无报错。
    rpm -e --test XXX
    说明:

    “XXX”表示软件带版本号的完整组件名,可通过rpm -qa命令查询完整组件名。

    • 删除有报错:表示有软件包依赖,不可删除,建议您忽略该漏洞。
    • 删除无报错:可执行以下命令删除旧版本包。
      rpm -e XXX
  • 如果是Kernel、Glibc等内核相关组件出现此问题,删除旧版本包可能会引起操作系统问题,建议您忽略该漏洞。

No package marked for update

未找到新版本升级包

失败原因表示软件已经升级为当前镜像源支持的最高版本,但漏洞仍然存在。

说明:
  • 操作系统CentOS 7,CentOS 8,Debian 9、10,Windows 2012 R2和Ubuntu 14.04及以下,官方已停止维护,由于官方不出补丁所以无法修复,建议使用正在维护的操作系统。
  • 操作系统Ubuntu 16.04~Ubuntu 22.04,部分补丁不支持免费更新,需要订阅Ubuntu Pro才能安装升级包,未配置Ubuntu Pro会导致漏洞修复失败。哪些漏洞修复需要订阅Ubuntu Pro请参见Ubuntu漏洞修复是否需要订阅Ubuntu Pro?
  • 可能原因一:镜像源配置错误。

    配置镜像源,更新镜像源后,重新修复漏洞。

  • 可能原因二:主机禁止内核漏洞修复。

    修复内核漏洞可能导致功能不可用,如需修复内核漏洞,请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助,。

    须知:

    CCE 、MRS、BMS的主机不能修复内核漏洞,贸然修复可能导致功能不可用,请勿升级内核组件。

Error: software info not update

Error: kernel is not update

is already the newest version

Dependencies resolved. Nothing to do. Complete!

Error: Failed to download metadata for repo

无法连接到yum源

请确认主机所属Region是否在:华北-北京一、华北-北京四、华东-上海一、华东-上海二、华南-广州、中国-香港。

  • 是:如果主机因特殊原因无法连接外网,您可以配置华为云提供的镜像源解决问题,详细操作请参见使用自动化工具配置华为云镜像源
  • 否:请保证主机可正常访问外网,否则无法连接官方镜像源或其他源。

One of the configured repositories failed

Errors during downloading metadata for repository

Error: Cannot retrieve repository metadata

Failed connect to

E: Failed to fetch

Error: kernel is not update

内核未更新

  • 可能原因一:漏洞修复后未重启。

    解决办法:重启主机。kernel漏洞修复后,需要重启主机才会生效,否则下次漏洞扫描时仍判定该漏洞未修复。

  • 可能原因二:主机禁止内核漏洞修复。

    修复内核漏洞可能导致功能不可用,如需修复内核漏洞,请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助,。

Error: kernel info not update

Please install a package which provides this module, or verify that the module is installed correctly

yum命令不可用

请根据失败原因中提示的方法,修复命令不可用问题。

command not found

Error downloading packages

下载升级包失败

请确认主机是否可正常连接外网:
  • 是:镜像源配置错误,请参考配置镜像源,更新镜像源后,重新修复漏洞。
  • 否:请保证您的主机可以正常连接外网后,重新修复漏洞。

There are no enabled repositories

未配置可用的源

失败原因表示是镜像源配置错误,请参考配置镜像源,更新镜像源后,重新修复漏洞。

Error: Cannot find a valid baseurl for repo

There are no enabled repos

dpkg was interrupted

dpkg命令不可用

请根据失败原因中提示的方法,修复命令不可用问题。

Windows漏洞修复失败原因及解决方法

  • Windows补丁安装后,需要重启主机,不重启主机会产生以下影响:
    • 补丁不生效。
    • 在安装其他系统补丁或软件时,可能会导致系统蓝屏、无法启动。
  • 失败原因只截取了部分关键字段,具体信息请以企业主机安全控制台显示为准。

失败原因

原因说明

解决办法

timeout

修复超时

请等待1小时后重试修复漏洞。如果仍然修复超时,请您在华为云管理控制台的右上角,单击“工单 > 新建工单”,通过工单向技术人员寻求帮助。

Agent status is not normal

Agent状态异常

Agent已离线,无法完成漏洞修复。请参考Agent状态异常应如何处理?使Agent状态恢复正常后,进行漏洞修复。

This agent version does not support vulnerability verification

Agent版本太低

主机安装的Agent版本过低,请升级Agent后进行漏洞修复。

Search patch failed: Search failed, errmsg(Unknown error 0x8024401C)

查找补丁失败

失败原因表示主机上系统的Windows Update组件出现问题。请按以下操作恢复Windows Update组件后,重新修复漏洞:

  1. 打开cmd命令提示符窗口。
  2. 逐一执行以下命令尝试恢复。
    net stop wuauserv
    reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    net start wuauserv

Search patch failed: Search failed, errmsg(Unknown error 0x8024402C)

查找补丁失败

失败原因表示Windows Update客户端无法连接到Windows更新服务器。请按以下方法尝试恢复Windows Update组件后,重新修复漏洞:

  1. 检查主机网络连接是否正常。

    请确保您的主机可以连接互联网。

  2. 清除Windows Update缓存。
    1. 打开控制面板。
    2. 进入系统和安全 > 管理工具 > 服务
    3. 选中“Windows Update”服务,单击右键,选择“停止”
    4. 打开C:\Windows文件夹,找到并删除“SoftwareDistribution”文件。
    5. 选中“Windows Update”服务,单击右键,选择“启动”
  3. 执行以下命令重置Windows Update组件。
    net stop wuauserv
    net stop cryptSvc
    net stop bits
    net stop msiserver
    ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
    ren C:\Windows\System32\catroot2 catroot2.old
    net start wuauserv
    net start cryptSvc
    net start bits
    net start msiserver

Search patch failed: Search failed, errmsg(Unknown error 0x80070422)

查找补丁失败

失败原因表示主机上的Windows Update服务被关闭。请按以下操作启动服务后,重新修复漏洞:

  1. 打开控制面板。
  2. 进入系统和安全 > 管理工具 > 服务
  3. 双击“Windows Update”服务。
  4. “Windows Update的属性”窗口,选择启动类型为“自动”
  5. 单击“确定”

Search patch failed: Get updates count is 0

查找补丁失败

失败原因表示主机的Windows Update故障,请按以下步骤排查问题:

  1. 检查主机网络连接是否正常。
    • 是:执行步骤2
    • 否:待主机网络连接正常后,重新进行漏洞修复。
  2. 打开Windows Update,确认检查更新是否能检查出待安装补丁。
    • 是:安装补丁并重启主机。
    • 否:

      如果修复失败原因中含错误码,请根据错误码在微软官网搜索对应的解决方案。

      如果修复失败原因中不含错误码,请参考微软官方提供的重置Windows Update文档,尝试重置Windows Update。

Search patch failed: Search failed,errmsg

查找补丁失败

Not install security patch

查找补丁失败

Add patch to update collection failed: Update collection count is 0

查找补丁失败

Not find patch

没有找到补丁

Add patch to update collection failed

安装补丁失败

Com init failed

调用Windows更新失败

Download patch failed

下载补丁失败

  • 可能原因一:Windows Update配置问题;仅Windows2008、2012可能会出现此种问题。

    在主机控制面板中找到Windows Update > 更改设置,按如下配置:

    • 重要更新:选择下载更新,但是让我选择是否安装更新。
    • 推荐更新:勾选。
    • Microsoft更新:去勾选。

    配置完成后,打开Windows Update,单击“检查更新”,待检查出待安装补丁后,安装补丁并重启主机。

  • 可能原因二:主机长时间未打补丁,导致Windows Update异常。
    1. 登录主机并打开Windows Update。
    2. 单击“检查更新”
    3. 检查出待安装补丁后,安装补丁并重启主机。
    说明:

    此场景漏洞可能一次无法完全修复,请反复检查更新直至安装完所有补丁。