常見主機漏洞及修復方案
1、openssh累積型漏洞 高 cve-2017-10012
修復意見:
升級版本至>=openssh-5.3p1-122.el6
2、NTP累積型漏洞 高
修復意見:
穩定版請儘快安裝ntp-4.2.8p4及以後版本
開發版請儘快安裝ntp-4.3.77及以後版本
3、伺服器支援 SSL Insecure Renegotiation (CVE-2009-3555)【原理掃描】 中
修復意見:
建議升級openssl來進行修復,openssl-0.98m之後的版本就已經修復了該漏洞,使用了Secure Renegotiation。
4、SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808) 中
修復意見:
對於NGINX的修補
修改nginx配置檔案中的 ssl_ciphers項
ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
重新載入:
$sudo /etc/init.d/nginx reload
對於apache的修復
開啟配置檔案
$ sudo vi /etc/httpd/conf.d/ssl.conf
修改配置
SSLCipherSuite
HIGH:MEDIUM:!aNULL:!MD5;!RC4
$ sudo /etc/init.d/httpd restart
對於TOMCAT的修復
server.xml 中SSL connector加入以下內容:
SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
5、SSL 3.0 POODLE攻擊資訊洩露漏洞(CVE-2014-3566) 中
修復意見:
Apache
在mod_ssl配置檔案中使用如下命令禁用SSLv2和SSLv3: SSLProtocol All -SSLv2 -SSLv3 重啟Apache
Nginx
在配置檔案中使用: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 重啟Nginx
6、oracle weblogic漏洞 高
影響版本
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.2.1.2
Oracle WebLogic Server12.2.1.3
Oracle WebLogic Server12.1.3.0
請升級至大於以上版本。
7、Nginx range filter 整型溢位漏洞 (CVE-2017-7529)
受影響版本:
Nginx 0.5.6 - 1.12.0
Nginx 1.13.0 - 1.13.2
8、OpenSSL "SSL-Death-Alert" 拒絕服務漏洞(CVE-2016-8610)
修復版本:
openssl-1.0.2分支的1.0.2i及後續版本
openssl-1.1.0分支的1.1.0a及後續版本
9、伺服器支援 SSL Insecure Renegotiation (CVE-2009-3555)
修復版本:openssl-0.98m之後的版本
10、PHP累積型漏洞
升級到安全版本:
PHP >=7.0.21
PHP >=5.6.31
PHP >=7.1.7
11、Apache Tomcat安全繞過漏洞(CVE-2018-1305)
修復方案:請升級到安全版本
Apache Tomcat 9.0.5
Apache Tomcat 8.5.28
Apache Tomcat 8.0.50
Apache Tomcat 7.0.85
Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014)、 Apache Tomcat安全限制繞過漏洞(CVE-2018-8034)
受影響版本:
Apache Tomcat 7.0.25-7.0.88、
Apache Tomcat8.5.0-8.5.31、
Apache Tomcat9.0.0.M1-9.0.9
升級版本:
Apache Tomcat 9.0.12
Apache Tomcat 8.5.34
Apache Tomcat 8.0.53
Apache Tomcat 7.0.90
12、SSL/TLS LogJam中間人安全限制繞過漏洞 (CVE-2015-4000)
修復方案:升級OpenSSL到>=OpenSSL 1.0.1e-60.el7
13、SSL/TLS 伺服器瞬時 Diffie-Hellman 公共金鑰過弱
修復方案:
1、升級到最新的JDK版本(8.0以上),就可以立刻解決該問題。
2、如果沒有辦法升級JDK,可以採用調整伺服器加密套件的配置來解決。 Tomcat 基於Java 1.6,請在Server.xml中增加以下ciphers配置:
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
……
ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA"></connector>
基於Java 7,請在Server.xml中增加以下ciphers配置:
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
……
ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA"></connector>
Weblogic
找到config.xml檔案,修改編輯其中<ciphersuite></ciphersuite>引數,增加:
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
14、s2-045漏洞 高
修復方案:
升級struts2框架至2.3.32版本,
1.替換struts2的三個核心包至2.3.32版本:struts2-json-plugin-2.3.32.jar,struts2-core-2.3.32.jar,struts2-spring-plugin-2.3.32.jar
2.如果專案中有用到xwork-core包,則替換至2.3.32版本:xwork-core-2.3.32.jar
3.同時對ognl要求最低版本為:ognl-3.0.19.jar,對freemarker要求最版本為:freemarker-2.3.22.jar
4.設定struts2的主配置檔案,設定屬性:<constant name="struts.enable.DynamicMethodInvocation" value="true" />
15、Oracle MySQL 累積型漏洞 CVE-2018-2562 高
升級MySQL至
>=MySQL 5.6.39 版本
>=MySQL 5.7.21 版本
16、Oracle Database Server 累積型漏洞 CVE-2018-2841 高
升級Oracle Database Server > 11.2.0.4版本
17、Oracle Enterprise 累積型漏洞 埠:1521 中
升級版本至
Oracle Enterprise Manager Grid Control >11.1.0.1
Oracle Enterprise Manager Grid Control >12.1.0.5
18、Sendmail 累積型漏洞 埠:25 高
升級至>=8.14.3版本
19、檢測到遠端rexec服務正在執行中 埠:512 高
建議立即禁用rexecd服務:
*在windows下禁用rexecd服務 開啟服務控制面板,在服務列表中找到rexec項,選擇停止服務
*在unix系統下禁用rexecd服務 在“/etc/inetd.conf”裡註釋掉“exec”行並重起inetd服務。
20、Samba SWAT Server正在執行 埠:901 高
21、Vmware ESXi累積型漏洞 CVE-2017-4904 高
受影響版本:
VMware ESXi 6.5版本,6.0 U3版本,6.0 U2版本,6.0 U1版本,5.5版本;
Workstation Pro / Player 12.5.5之前的12.x版本;
Fusion Pro / Fusion 8.5.6之前的8.x版本。
22、VMware 多個產品安全漏洞 (CVE-2018-3639)(VMSA-2018-0012.1)
受影響系統:
Intel Corporation Xeon CPU
Intel Corporation Atom Processor
Intel Pentium Processor
Intel Celeron Processor
|
Vmware Product |
product Version |
severity |
replace with/apply Patch |
Mitigation/Workaround |
| ESXi |
6.7 |
Moderate |
ESXi670-201806401-BG* ESXi670-201806402-BG** |
none |
| ESXi |
6.5 |
Moderate |
ESXi650-201806401-BG* ESXi650-201806402-BG** |
none |
| ESXi |
6 |
Moderate |
ESXi600-201806401-BG* ESXi600-201806402-BG** |
none |
|
ESXi |
5.5 |
Moderate |
ESXi550-201806401-BG* ESXi550-201806402-BG** |
none |
23、VMware ESXi累積型漏洞
修復方案:
24、伺服器支援 TLS Client-initiated 重協商攻擊(CVE-2011-1473)【原理掃描】
修復方案:
Apache解決辦法: 升級到Apache 2.2.15以後版本
IIS解決辦法: IIS 5.0啟用SSL服務時,也會受影響。可以升級IIS 6.0到更高的版本。
Lighttpd解決辦法: 建議升級到lighttpd 1.4.30或者更高,並設定ssl.disable-client-renegotiation = "enable"。
Nginx解決辦法: 升級至nginx-1.15.2 版本
Tomcat解決辦法:
1、使用NIO connector代替BIO connector,因為NIO不支援重協商,參考如下配置: <Connector protocol="org.apache.coyote.http11.Http11NioProtocol"> (可能會影響Tomcat效能);
Squid解決辦法: 升級到3.5.24以及以後版本
25、OpenSSL TLS心跳擴充套件協議包遠端資訊洩露漏洞 (CVE-2014-0160)【原理掃描】
受影響系統:
OpenSSL Project OpenSSL 1.0.2-beta1
OpenSSL Project OpenSSL 1.0.2-beta
OpenSSL Project OpenSSL 1.0.1f
OpenSSL Project OpenSSL 1.0.1e
OpenSSL Project OpenSSL 1.0.1d
OpenSSL Project OpenSSL 1.0.1c
OpenSSL Project OpenSSL 1.0.1b
OpenSSL Project OpenSSL 1.0.1a
OpenSSL Project OpenSSL 1.0.1
不受影響系統:
OpenSSL Project OpenSSL 1.0.2-beta2
OpenSSL Project OpenSSL 1.0.1g
OpenSSL Project OpenSSL 1.0.0
OpenSSL Project OpenSSL 0.9.8
臨時解決方法:
NSFOCUS建議您升級到OpenSSL 1.0.1g。但如果您不能立刻安裝補丁或者升級,您可以採取以下措施以降低威脅:
* 使用-DOPENSSL_NO_HEARTBEATS選項重編譯OpenSSL。
廠商補丁:
OpenSSL Project
—————
Openssl已經發布了Openssl 1.0.1g修復此問題,:
廠商安全公告:
對於OpenSSL 1.0.2 Releases, 廠商表示將會在1.0.2-beta2中修復。
主流Linux發行版也已經發布相關補丁,請儘快升級。
26、Redis 配置不當可直接導致伺服器被控制【原理掃描】
修復方案:
防止這個漏洞需要修復以下三處問題
第一:修改redis繫結的IP如果只在本機使用redis服務那麼只要繫結127.0.0.1如果其他主機需要訪問redis服務那麼只繫結客戶主機所在網路的介面最好不要繫結0.0.0.0另外需要通過主機內建的防火牆如iptables,或者其他外接防火牆禁止非業務主機訪問redis服務
第二:設定訪問密碼在 redis.conf 中找到“requirepass”欄位,取消註釋並在後面填上你需要的密碼。注:修改redis的配置需要重啟redis才能生效。
第三:使用普通使用者啟動redis,並且禁止該使用者啟動shell,禁止使用root使用者啟動redis。
27、Redis 未授權訪問漏洞【原理掃描】
修復方案:
方法一:可以修改繫結的IP、埠和指定訪問者IP具體根據實際情況來設定,也可以直接在伺服器防火牆上做設定。
方法二:設定訪問密碼在 redis.conf 中找到“requirepass”欄位,取消註釋並在後面填上你需要的密碼。注:修改redis的配置需要重啟redis才能生效。
28、ZooKeeper 未授權訪問【原理掃描】
修復方案:
為ZooKeeper配置相應的訪問許可權。
方式一:
1)增加一個認證使用者addauth digest 使用者名稱:密碼明文eg. addauth digest user1:password1
2)設定許可權setAcl /path auth:使用者名稱:密碼明文:許可權eg. setAcl /test auth:user1:password1:cdrwa
3)檢視Acl設定getAcl /path
方式二:
setAcl /path digest:使用者名稱:密碼密文:許可權
29、遠端WWW服務支援TRACE請求
修復方案:
管理員應禁用WWW服務對TRACE請求的支援。IISURLScanApacheSource Code ModificationMod_Rewrite ModuleRewriteEngine onRewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* - [F]