漏洞和补丁
2018-09-28 本文已影响0人
Miracle001
Linux系统漏洞
内核漏洞
工具漏洞--安装包
解决方法
下载安装最新版本的工具包--wget或直接网站下载,然后安装即可
检查Linux系统的Shellshock漏洞
执行命令:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
输出:
hello
表示系统没有漏洞
输出:
vulnerable
hello
表示系统有漏洞
查看bash版本
bash -version
如果bash的版本是3.2.51,就必须要更新了
yum -y update bash
参考文章
https://yq.aliyun.com/ziliao/65936?spm=a2c4e.11155472.0.0.9dbe6162MvHbbE
CentOS发布内核安全补丁:修复Meltdown和Spectre漏洞
Red Hat发现这些由英特尔和AMD开发的处理器代码固件会导致硬件问题
所有32位和64位
CentOS Linux 6系统 安装microcode_ctl-1.17-25.4.el6_9.i686.rpm/microcode_ctl-1.17-25.4.el6_9.x86_64.rpm更新,
CentOS Linux 7系统 安装microcode_ctl-2.1-22.5.el7_4.x86_64.rpm
在完成处理器代码更新之后用户需要重启电脑
存在问题的软件包括
kernel-3.10.0-693.11.6.el7.x86_64.rpm
kernel-abi-whitelists-3.10.0-693.11.6.el7.noarch.rpm
kernel-debug-3.10.0-693.11.6.el7.x86_64.rpm
kernel-debug-devel-3.10.0-693.11.6.el7.x86_64.rpm
kernel-devel-3.10.0-693.11.6.el7.x86_64.rpm
kernel-doc-3.10.0-693.11.6.el7.noarch.rpm
需要更新的软件
kernel-headers-3.10.0-693.11.6.el7.x86_64.rpm
kernel-tools-3.10.0-693.11.6.el7.x86_64.rpm
kernel-tools-libs-3.10.0-693.11.6.el7.x86_64.rpm
kernel-tools-libs-devel-3.10.0-693.11.6.el7.x86_64.rpm
perf-3.10.0-693.11.6.el7.x86_64.rpm
python-perf-3.10.0-693.11.6.el7.x86_64.rpm
两款CPU漏洞
CentOS 6.5系统三个漏洞
1.RHSA-2016:0496: git security update漏洞修复
yum update git
阿里云管理控制台 >> 态势感知 >> 漏洞管理
点击该漏洞右侧的“验证”按钮进行验证,一般情况下都会成功修复
如果成功修复可以在已处理中找到相应漏洞可以看出相应状态为“修复成功”
2.RHSA-2017:0574: gnutls security, bug fix, and enhancement update漏洞修复
CVE-2017-5336(GnuTLS 存在栈缓冲区溢出的漏洞)
CVE-2017-5337(GnuTLS 存在堆缓冲区溢出漏洞)
CVE-2017-5335(GnuTLS 存在基于缓冲区溢出的漏洞)
CVE-2016-8610(OpenSSL 存在远程匿名拒绝服务漏洞)
yum update gnutls
3.RHSA-2018:0008: kernel security update漏洞修复
CVE-2017-5754(CPU 处理器内核存在 Spectre 漏洞)
yum update kernel
yum update kernel-devel
yum update kernel-headers
reboot
内核安全漏洞Dirty Cow
提权漏洞
低权限用户可以利用该漏洞修改只读内存,进而执行任意代码获取 root权限
影响所有 Linux Kernel >= 2.6.22的版本
yum update kernel
Linux内核升级修复系统漏洞(centos7.4)
系统:centos 7.4 64位
内核版本:3.10.0-693.el7.x86_64
Linux内核官网 下载最新稳定版本的内核 https://www.kernel.org/
两种方法
编译安装 编译项完全控制,但是慢
yum安装 快捷方便,成功率高
1.导入key
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
2.安装elrepo的yum源
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
3.安装内核(默认安装最新稳定版本内核)
yum --enablerepo=elrepo-kernel install kernel-ml-devel kernel-ml
4.查看启动顺序
awk -F\' '$1=='menuentry ' '{print $2}' /etc/grub2.cfg
新的内核版本默认会在最前面,下面将选择系统启动时的内核版本,顺序为 0
5.选择默认内核版本
grub2-set-default 0
6.重启服务器,使之生效
reboot
7.验证内核版本
uname -a
显示已经是4.16.2的内核了
参考文章
http://www.360doc.com/content/18/0928/09/60205487_790328774.shtml
漏洞详情如下:
软件: 3.10.0-327.36.3.el7
命中: kernel version less than 0:3.10.0-693.el7
路径: /boot/.vmlinuz-3.10.0-327.36.3.el7.x86_64.hmac
解决:
uname -sr 内核版本查询
yum update 内核版本不是最新,需要更新
如果 提示No packages marked for update,表明已经是最新的。
rpm -qa|grep kernel* 查看旧的内核版本
yum remove kernel–3.10.0-327.36.3.el7.x86_64 kernel-3.10.0-514.21.1.el7.x86_64 kernel-devel-3.10.0-514.21.2.el7.x86_64
删除旧的内核版本
reboot 重启系统
控制台验证
yum -y install patch
patch --help
安装补丁包:patch -p(n) < [补丁包路径] patch_name
卸载补丁包:patch -p(n) -R < [补丁包路径] patch_name
帮助 man patch
patch -p0
(“p”指的是路径,后面的数字表示去掉路径的第几部分。0,表示不去掉,为全路径)
patch -p1
(“p”后面的数字1,表示去掉前第一个路径)
-p1
代表patchfile中文件名左边目录的层数,顶层目录在不同的机器上有所不同。
要使用这个选项,就要把你的patch放在要被打补丁的目录下,然后在这个目录中运行path -p1 < [patchfile]
-b 或 --backup 备份每一个原始文件
-B<备份字首字符串> 或 --prefix=<备份字首字符串>
设置文件备份时,附加在文件名称前面的字首字符串,该字符串可以是路径名称
-c 或 --context 把修补数据解译成关联性的差异
-d<工作目录> 或 --directory=<工作目录> 设置工作目录
-D<标示符号> 或 --ifdef=<标示符号> 用指定的符号把改变的地方标示出来
-e 或 --ed 把修补数据解译成ed指令可用的叙述文件
-E 或 --remove-empty-files 若修补过后输出的文件其内容是一片空白,则移除该文件
-f 或 --force 此参数的效果和指定-t参数类似,但会假设修补数据的版本为新版本
-F<监别列数> 或 --fuzz<监别列数> 设置监别列数的最大值
-g<控制数值> 或 --get=<控制数值> 设置以RSC或SCCS控制修补作业
-i<修补文件> 或 --input=<修补文件> 读取指定的修补问家你
-l 或 --ignore-whitespace 忽略修补数据与输入数据的跳格,空格字符
-n 或 --normal 把修补数据解译成一般性的差异
-N 或 --forward 忽略修补的数据较原始文件的版本更旧,或该版本的修补数据已使用过
-o<输出文件> 或 --output=<输出文件> 设置输出文件的名称,修补过的文件会以该名称存放
-p<剥离层级> 或 --strip=<剥离层级> 设置欲剥离几层路径名称
-f<拒绝文件> 或 --reject-file=<拒绝文件> 设置保存拒绝修补相关信息的文件名称,预设的文件名称为.rej
-R 或 --reverse 假设修补数据是由新旧文件交换位置而产
-s 或 --quiet 或 --silent 不显示指令执行过程,除非发生错误
-t 或 --batch 自动略过错误,不询问任何问题
-T 或 --set-time 此参数的效果和指定-Z参数类似,但以本地时间为主
-u 或 --unified 把修补数据解译成一致化的差异
-v 或 --version 显示版本信息
-V<备份方式> 或 --version-control=<备份方式>
用-b参数备份目标文件后,备份文件的字尾会被加上一个备份字符串
这个字符串不仅可用-z参数变更,当使用-V参数指定不同备份方式时,也会产生不同字尾的备份字符串
-Y<备份字首字符串> 或 --basename-prefix=--<备份字首字符串>
设置文件备份时,附加在文件基本名称开头的字首字符串
-z<备份字尾字符串> 或 --suffix=<备份字尾字符串>
效果和指定-B参数类似
差别在于修补作业使用的路径与文件名若为src/linux/fs/super.c,
加上backup/字符串后,文件super.c会备份于/src/linux/fs/backup目录里
-Z 或 --set-utc 把修补过的文件更改,存取时间设为UTC
--backup-if-mismatch 在修补数据不完全吻合,且没有刻意指定要备份文件时,才备份文件
--binary 以二进制模式读写数据,而不通过标准输出设备
--help 在线帮助
--nobackup-if-mismatch 在修补数据不完全吻合,且没有刻意指定要备份文件时,不要备份文件
--verbose 详细显示指令的执行过程
