很久不登录阿里云后台了,没想到今天一登录就给我“惊吓”,直接说我的服务器有三个漏洞,其中一个还是“需尽快修复”的漏洞,可惜这些漏洞右侧对应的“生成修复命令”和“一键修复”按钮都不可用,都说需要升级“企业版”才行,对于我等苦逼站长而言,企业版还是太过遥远,所以还是自己动手丰衣足食为好。
RHSA-2016:0496: git security update漏洞修复
这个漏洞还是比较简单的,只需要升级 git 即可,所以只需要在 root 权限下输入以下命令即可:
[root@Localhost]# yum update git
升级成功之后,可以在阿里云管理控制台 - 态势感知 - 漏洞管理,点击该漏洞右侧的“验证”按钮进行验证,一般情况下都会成功修复。如果成功修复可以在已处理中找到相应漏洞可以看出相应状态为“修复成功”。
RHSA-2017:0574: gnutls security, bug fix, and enhancement update漏洞修复
RHSA-2017:0574 漏洞包括四个,分别是 CVE-2017-5336(GnuTLS 存在栈缓冲区溢出的漏洞)、CVE-2017-5337(GnuTLS 存在堆缓冲区溢出漏洞)、CVE-2017-5335(GnuTLS 存在基于缓冲区溢出的漏洞)和 CVE-2016-8610(OpenSSL 存在远程匿名拒绝服务漏洞),刚开始我使用以下命令进行修复:
[root@Localhost]# yum update openssh
[root@Localhost]# yum update openssh-askpass
[root@Localhost]# yum update openssh-clients
[root@Localhost]# yum update openssh-server
但是以上四个命令得到的结果都是没有内容可以更新,所以点击漏洞的“验证”按钮也是无法通过验证,说明没有成功修复。后来再次阅读这个漏洞时看到有 gnutls,所以最后试着用以下修复命令:
[root@Localhost]# yum update gnutls
没想到竟然成功修复 RHSA-2017:0574: gnutls security, bug fix, and enhancement update 漏洞。
根据我这次的修复经验,RHSA-2017:0574: gnutls security, bug fix, and enhancement update 漏洞修复命令为:
[root@Localhost]# yum update gnutls
RHSA-2018:0008: kernel security update漏洞修复
RHSA-2018:0008: kernel security update 漏洞,好像就是所谓的 CVE-2017-5754(CPU 处理器内核存在 Spectre 漏洞),所以还是老办法,直接使用以下命令升级 kernel:
[root@Localhost]# yum update kernel
成功升级 kernel 之后输入以下命令重启系统
[root@Localhost]# reboot
系统重启之后发现内核版本确实变了,CentOS 6.5 系统的内容版本变成了 kernel >= 2.6.32-696.23.1.el6,但是验证漏洞是否修复时总是不成功。后来看到该漏洞的说明“软件: kernel-devel 2.6.32-696.10.1.el6,命中: kernel-devel version less than 0:2.6.32-696.18.7.el6”,所以继续输入以下命令进行相应升级:
[root@Localhost]# yum update kernel-devel
[root@Localhost]# yum update kernel-headers
成功升级之后再次重启系统验证漏洞修复时,没想到竟然成功修复了。换句话说就是 RHSA-2018:0008: kernel security update 完整的修复命令是:
[root@Localhost]# yum update kernel
[root@Localhost]# yum update kernel-devel
[root@Localhost]# yum update kernel-headers
[root@Localhost]# reboot
PS:查看内核版本号命令是 uname –r
对服务器不熟悉,对于这些漏洞更加不熟悉,所以为了修复这三个漏洞就折腾了大半天,不过幸好最后都成功修复了。通过这件事也让我更加明白“时间就是金钱”的道理,如果有钱直接升级企业版,直接就可以在后台“一键修复”解决,根本就不用自己瞎折腾那么久。还是那句话说得对“土豪用钱解决问题,穷逼用时间解决问题”。
发表于2018-04-03 00:38 沙发
还好,我用7.4,没提示有漏洞~
@西枫里博客[威武] 现在好像最高就是7.4了吧,服务器稳定的话我都懒得升级了
发表于2018-04-03 08:52 板凳
还好,我用7.4,没提示有漏洞~~
发表于2018-04-03 10:11 地板
我提示有漏洞,我没去理它。
@maqingxi[偷笑] 我有点强迫症,不看到还好,看到了不折腾不舒服
发表于2018-04-03 11:16 4楼
表示懒得理它~ 这些漏洞都是阿里云吓唬人的。。。
@Mr.Li[偷笑] 这个个人认为还是修复一下比较好,最起码可以安慰一下自己
发表于2018-04-03 14:57 5楼
干货,正好发现这个漏洞提醒
@银色月航[呲牙] 好像很多这种漏洞,一般不折腾好像问题也不大,不过有可能还是尽可能修复
发表于2018-04-03 18:17 6楼
这个是直接安装的插件对吧。
发表于2018-04-03 19:42 7楼
都好久没去阿里云后台了
@野人摊的分享我也是偶尔去一次,所以这次一看就三个漏洞,只能折腾了
发表于2018-04-03 20:40 8楼
以后经常互动下那,很佩服你,这份坚持!由此可以相信,一定能够有一个灿烂明天!
@善行法脉[围观] 谢谢支持
发表于2018-04-05 11:45 9楼
然而我还没有到达这种技术啦!
发表于2018-04-05 19:05 10楼
我都是定期在 CentOS 里‘yum update -y’的!指望阿里云提醒早被攻击的体无完肤了!
@明月登楼你这是招黑体 [偷笑] [偷笑] [偷笑] [偷笑]
@明月登楼[赞] 这招好像不错,很多时候把相关东西升级到最新一般都能解决了
发表于2018-04-05 19:05 11楼
其实可以借助Linux的crontab来定时自动检查更新的!
@学习笔记Blog[奋斗] 感觉能够做到及时修复阿里云告知的漏洞就很给力了,其他的就比较懒了,毕竟对服务器不熟悉
发表于2018-04-05 22:00 12楼
= =、表示完全懒得管。
@姜辰有点强迫症,没看到还好,看到了不修复不舒服啊
发表于2018-04-06 14:17 13楼
我的还想也有漏洞,没管
发表于2018-04-16 10:57 14楼
写的很好很详细,受教了,服务器就靠你拯救了
@陈十安[害羞] 其实也是瞎折腾,反正没看到警报就行了
发表于2018-06-08 17:12 15楼
辛苦了雷锋,管用,完美解决并修改漏洞。
@临境[呲牙] 我也是刚好遇到这个问题,刚好有解决办法