文档首页/ 安全云脑 SecMaster/ 用户指南/ 风险预防/ 漏洞管理/ 修复漏洞
更新时间:2024-11-19 GMT+08:00
查看PDF
分享

修复漏洞

操作场景

当扫描到服务器存在漏洞时,您需要及时根据漏洞的危害程度结合实际业务情况处理漏洞,避免漏洞被入侵者利用入侵您的服务器。

如果漏洞对您的业务可能产生危害,建议您尽快修复漏洞。对于Linux漏洞、Windows漏洞,您可以在主机安全服务控制台一键自动修复漏洞,对于Web-CMS漏洞、应用漏洞、应急漏洞,暂不支持自动修复,您可以参考漏洞详情界面提供的修复建议手动修复漏洞。

约束限制

  • 操作系统CentOS 7,CentOS 8,Debian 9、10,Windows 2012 R2和Ubuntu 14.04及以下,官方已停止维护,由于官方不出补丁所以无法修复,建议使用正在维护的操作系统。
  • 操作系统Ubuntu 16.04~Ubuntu 22.04,官方已不支持免费补丁更新,需要订阅Ubuntu Pro才能安装升级包,未配置Ubuntu Pro会导致漏洞修复失败。
  • 由于贸然修复内核漏洞,可能会导致主机功能不可用,因此针对CCE、MRS、BMS的主机内核漏洞,HSS不支持自动修复,HSS在执行批量自动修复漏洞任务时也会自动过滤不修复这些类型的漏洞。
  • 处理漏洞时需保证目标服务器的“服务器状态”“运行中”“Agent状态”“在线”“防护状态”“防护中”

操作风险

  • 执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云备份(CBR)为ECS创建备份,详细操作请参见创建云服务器备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。
  • 在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。
    • Linux系统:如果主机无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用华为云提供的镜像源进行漏洞修复。为了保证漏洞修复成功,请在执行在线升级漏洞前,确认主机中已配置华为云提供的对应操作系统的镜像源,详细的配置操作请参见配置镜像源
    • Windows系统:如果主机无法访问Internet,请确保拥有自建的补丁服务器。

通过控制台修复漏洞

仅Linux软件漏洞和Windows系统漏洞支持使用控制台的漏洞修复功能。

  1. 登录管理控制台。
  2. 单击管理控制台左上角的,选择区域和项目。
  3. 在页面左上角单击,选择“安全与合规 > 安全云脑 SecMaster”,进入安全云脑管理页面。
  4. 在左侧导航栏选择工作空间 > 空间管理,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。

    图1 进入目标工作空间管理页面

  5. 在安全云脑管理页面选择风险预防 > 漏洞管理,进入漏洞管理页面。

    图2 进入漏洞管理页面

  6. 在漏洞管理界面,选择“Linux漏洞”“Windows漏洞”任意一个页签,进入对应漏洞管理页面。
  7. 在漏洞列表中,单击目标漏洞名称,右侧弹出漏洞信息页面。
  8. 在漏洞信息页面中,选择“受影响资产”页签,并在资产列表中,单击待处理资产所在行“操作”列的“修复”,系统提示修复操作触发成功。

    如需批量修复,可以勾选所有需要修复的资产,然后在列表左上角,单击“批量修复”

  9. 漏洞修复完成后,如果修复成功,修复状态将变更为“修复成功”。如果修复失败,修复状态将变更为“修复失败”

    “Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则系统仍可能为您推送漏洞消息。

手动修复系统软件漏洞

对于Web-CMS漏洞、应用漏洞,不支持一键自动修复,您可以参考漏洞详情页面的修复建议,登录服务器手动修复。

  • 漏洞修复命令

    进入到漏洞的基本信息页,可根据修复建议修复已经被识别出的漏洞,漏洞修复命令可参见表1

    • “Windows系统漏洞”“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则系统仍可能为您推送漏洞消息。
    • 不同的漏洞请根据修复建议依次进行修复。
    • 如果同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
    表1 漏洞修复命令

    操作系统

    修复命令

    CentOS/Fedora /Euler/Redhat/Oracle

    yum update 软件名称

    Debian/Ubuntu

    apt-get update && apt-get install 软件名称 --only-upgrade

    Gentoo

    请参见漏洞修复建议。
  • 漏洞修复方案

    漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:

    • 方案一:创建新的虚拟机执行漏洞修复
      1. 为需要修复漏洞的ECS主机创建镜像,详细操作请参见通过云服务器创建整机镜像
      2. 使用该镜像创建新的ECS主机,详细操作请参见通过镜像创建云服务器
      3. 在新启动的主机上执行漏洞修复并验证修复结果。
      4. 确认修复完成之后将业务切换到新主机。
      5. 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
    • 方案二:在当前主机执行修复
      1. 为需要修复漏洞的ECS主机创建备份,详细操作请参见创建云服务器备份
      2. 在当前主机上直接进行漏洞修复。
      3. 如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态,详细操作请参见使用备份恢复服务器
    • 方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。新创建的ECS主机建议采用按需计费的方式创建,待业务切换完成后可以根据需要转换为包周期计费模式。如果漏洞修复不成功可以随时释放以节省开销。
    • 方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。

修复验证

漏洞修复后,建议您立即进行验证。

表2 修复验证

验证方式

操作方法

手动验证
  • 通过漏洞详情页面的“验证”,进行一键验证。
  • 执行以下命令查看软件升级结果,确保软件已升级为最新版本。
    • CentOS/Fedora /Euler/Redhat/Oracle操作系统:rpm -qa | grep 软件名称
    • Debian/Ubuntu操作系统:dpkg -l | grep 软件名称
    • Gentoo操作系统:emerge --search 软件名称
  • 在HSS中进行手动执行漏洞检测,查看漏洞修复结果。

自动验证

如果您未进行手动验证,HSS每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。

相关操作

如果您评估某些漏洞对您的业务不会产生影响,并且不想在漏洞列表中看到该漏洞,您可以将该漏洞加入白名单,加入白名单后,针对漏洞列表已经展示的漏洞信息会处理为忽略,不再为您上报告警,在下一次漏洞扫描任务执行时不再扫描该漏洞和呈现该漏洞信息。详细操作请参见处理漏洞

父主题: 漏洞管理

相关文档