求等保测评高危漏洞处理方法

listen47

问题如下：
    手头一系统需等保测评,测评公司用一软件扫描发现操作系统(生产应用主机系统为redhat5.x)存在一些漏洞,漏洞报表上的漏洞处理方法感觉有点不靠谱。
需修复的高危漏洞如下：
高危险        OpenSSH‘hash_buffer’函数缓冲区溢出漏洞(CVE-2014-1692)
高危险        OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)
高危险        Apache Tomcat 拒绝服务漏洞(CVE-2014-0075)
高危险        Apache HTTP Server拒绝服务漏洞(CVE-2011-3192)(精确扫描)

处理方式：
较简单方式是做openssh和apache大版本升级,不过就怕后续产生一些问题,就更麻烦了。
现在有一想法，请各位大牛帮忙看下是否可行：
上面4个高危漏洞都是基于ssh和http协议的,是否可以在火墙上做下策略,只允许LAN内有交互的设备数据包通过,丢弃其它来源包?
请问下有处理这种问题经验得高手,这种方式可行么,有其它厉害的处理方式么?谢谢了

--------------------------------------------------------------------------------------------------------------------
感谢各位网友不倦教诲，非常感谢。最终结论：
  采用rpm升级方式处理

yyu0378

可以通过防火墙来限制，但是你的web服务只是供内部使用的？

listen47

的确，ssh仅内部可用，但web服务外部源地址太多，用火墙直接限制不合适。回复 2# yyu0378


   

yyu0378

回复 3# listen47
对啊，那你之前所方案就是不可行的啊


   

listen47

回复 4# yyu0378
的确这么大漏洞都没想到，要是这么做就问题大了。请问下针对这个问题，能给下指导建议么？

   

yyu0378

回复 5# listen47
用的红帽系统，比较难搞了

   

phanx

升级版本是最好方案。 你又没有有效红帽订阅服务，无法获得针对 RHEL 5 的补丁。 况且，无法确定红帽针对这几个CVE在你对应的版本上有相应的补丁。

listen47

回复 7# phanx
恩,测试环境我做好升级版本测试,如果到生产依然出问题,再看了


   

phanx

回复 8# listen47


    嗯，这样最好。  tomcat 和 apache httpd 相对比较独立，升级也容易一些。

OpenSSH 需要跟OpenSSL一起升级。 最好采用编译安装到独立的路径，然后修改系统SSHD服务，启动新编译的版本。

lyhabc

我们公司的服务器也会定期做等级保护测评，建议楼主使用灰度升级，逐一升级，不要一次全部升级
减少宕机风险 ，先停机一台，升级好ssh等相关软件包版本，再到下一台，Windows也是，一次下载全部补丁，各个Windows服务器共享这些补丁