免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
123下一页
最近访问板块 发新帖
查看: 9083 | 回复: 24
打印 上一主题 下一主题

[系统安全] 求等保测评高危漏洞处理方法 [复制链接]

论坛徽章:
1
2015年迎新春徽章
日期:2015-03-04 10:01:44
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2015-06-09 11:08 |只看该作者 |倒序浏览
本帖最后由 listen47 于 2015-06-29 13:33 编辑

问题如下:
    手头一系统需等保测评,测评公司用一软件扫描发现操作系统(生产应用主机系统为redhat5.x)存在一些漏洞,漏洞报表上的漏洞处理方法感觉有点不靠谱。
需修复的高危漏洞如下:
高危险        OpenSSH‘hash_buffer’函数缓冲区溢出漏洞(CVE-2014-1692)
高危险        OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)
高危险        Apache Tomcat 拒绝服务漏洞(CVE-2014-0075)
高危险        Apache HTTP Server拒绝服务漏洞(CVE-2011-3192)(精确扫描)

处理方式:
较简单方式是做openssh和apache大版本升级,不过就怕后续产生一些问题,就更麻烦了。
现在有一想法,请各位大牛帮忙看下是否可行:
上面4个高危漏洞都是基于ssh和http协议的,是否可以在火墙上做下策略,只允许LAN内有交互的设备数据包通过,丢弃其它来源包?
请问下有处理这种问题经验得高手,这种方式可行么,有其它厉害的处理方式么?谢谢了

--------------------------------------------------------------------------------------------------------------------
感谢各位网友不倦教诲,非常感谢。最终结论:
  采用rpm升级方式处理

论坛徽章:
17
巨蟹座
日期:2014-11-20 23:04:5215-16赛季CBA联赛之北控
日期:2018-08-01 16:08:4015-16赛季CBA联赛之浙江
日期:2017-12-08 11:25:2415-16赛季CBA联赛之四川
日期:2016-11-21 00:16:50操作系统版块每日发帖之星
日期:2016-07-28 06:20:0015-16赛季CBA联赛之吉林
日期:2016-05-25 15:36:04操作系统版块每日发帖之星
日期:2016-02-12 06:20:002015亚冠之西悉尼流浪者
日期:2015-08-28 14:48:322015亚冠之平阳省
日期:2015-08-19 14:54:162015亚冠之武里南联
日期:2015-07-07 10:49:112015亚冠之城南
日期:2015-06-22 10:15:002015亚冠之山东鲁能
日期:2015-06-18 18:03:44
2 [报告]
发表于 2015-06-09 11:34 |只看该作者
可以通过防火墙来限制,但是你的web服务只是供内部使用的?

论坛徽章:
1
2015年迎新春徽章
日期:2015-03-04 10:01:44
3 [报告]
发表于 2015-06-09 13:19 |只看该作者
的确,ssh仅内部可用,但web服务外部源地址太多,用火墙直接限制不合适。回复 2# yyu0378


   

论坛徽章:
17
巨蟹座
日期:2014-11-20 23:04:5215-16赛季CBA联赛之北控
日期:2018-08-01 16:08:4015-16赛季CBA联赛之浙江
日期:2017-12-08 11:25:2415-16赛季CBA联赛之四川
日期:2016-11-21 00:16:50操作系统版块每日发帖之星
日期:2016-07-28 06:20:0015-16赛季CBA联赛之吉林
日期:2016-05-25 15:36:04操作系统版块每日发帖之星
日期:2016-02-12 06:20:002015亚冠之西悉尼流浪者
日期:2015-08-28 14:48:322015亚冠之平阳省
日期:2015-08-19 14:54:162015亚冠之武里南联
日期:2015-07-07 10:49:112015亚冠之城南
日期:2015-06-22 10:15:002015亚冠之山东鲁能
日期:2015-06-18 18:03:44
4 [报告]
发表于 2015-06-09 13:30 |只看该作者
回复 3# listen47
对啊,那你之前所方案就是不可行的啊


   

论坛徽章:
1
2015年迎新春徽章
日期:2015-03-04 10:01:44
5 [报告]
发表于 2015-06-09 13:46 |只看该作者
回复 4# yyu0378
的确这么大漏洞都没想到,要是这么做就问题大了。请问下针对这个问题,能给下指导建议么?

   

论坛徽章:
17
巨蟹座
日期:2014-11-20 23:04:5215-16赛季CBA联赛之北控
日期:2018-08-01 16:08:4015-16赛季CBA联赛之浙江
日期:2017-12-08 11:25:2415-16赛季CBA联赛之四川
日期:2016-11-21 00:16:50操作系统版块每日发帖之星
日期:2016-07-28 06:20:0015-16赛季CBA联赛之吉林
日期:2016-05-25 15:36:04操作系统版块每日发帖之星
日期:2016-02-12 06:20:002015亚冠之西悉尼流浪者
日期:2015-08-28 14:48:322015亚冠之平阳省
日期:2015-08-19 14:54:162015亚冠之武里南联
日期:2015-07-07 10:49:112015亚冠之城南
日期:2015-06-22 10:15:002015亚冠之山东鲁能
日期:2015-06-18 18:03:44
6 [报告]
发表于 2015-06-09 17:21 |只看该作者
回复 5# listen47
用的红帽系统,比较难搞了

   

论坛徽章:
12
技术图书徽章
日期:2014-07-11 16:27:5215-16赛季CBA联赛之山西
日期:2016-01-08 16:10:11操作系统版块每日发帖之星
日期:2015-08-01 06:20:002015亚冠之武里南联
日期:2015-06-11 01:12:162015年亚洲杯之阿联酋
日期:2015-03-20 11:41:462015年亚洲杯纪念徽章
日期:2015-03-18 18:08:422015年辞旧岁徽章
日期:2015-03-03 16:54:15丑牛
日期:2015-01-10 22:23:32天秤座
日期:2014-08-20 15:53:35水瓶座
日期:2014-08-11 12:08:51午马
日期:2014-07-23 23:03:38IT运维版块每日发帖之星
日期:2016-02-18 06:20:00
7 [报告]
发表于 2015-06-10 00:06 |只看该作者
升级版本是最好方案。 你又没有有效红帽订阅服务,无法获得针对 RHEL 5 的补丁。 况且,无法确定红帽针对这几个CVE在你对应的版本上有相应的补丁。

论坛徽章:
1
2015年迎新春徽章
日期:2015-03-04 10:01:44
8 [报告]
发表于 2015-06-10 00:40 |只看该作者
回复 7# phanx
恩,测试环境我做好升级版本测试,如果到生产依然出问题,再看了


   

论坛徽章:
12
技术图书徽章
日期:2014-07-11 16:27:5215-16赛季CBA联赛之山西
日期:2016-01-08 16:10:11操作系统版块每日发帖之星
日期:2015-08-01 06:20:002015亚冠之武里南联
日期:2015-06-11 01:12:162015年亚洲杯之阿联酋
日期:2015-03-20 11:41:462015年亚洲杯纪念徽章
日期:2015-03-18 18:08:422015年辞旧岁徽章
日期:2015-03-03 16:54:15丑牛
日期:2015-01-10 22:23:32天秤座
日期:2014-08-20 15:53:35水瓶座
日期:2014-08-11 12:08:51午马
日期:2014-07-23 23:03:38IT运维版块每日发帖之星
日期:2016-02-18 06:20:00
9 [报告]
发表于 2015-06-10 00:44 |只看该作者
回复 8# listen47


    嗯,这样最好。  tomcat 和 apache httpd 相对比较独立,升级也容易一些。

OpenSSH 需要跟OpenSSL一起升级。 最好采用编译安装到独立的路径,然后修改系统SSHD服务,启动新编译的版本。

求职 : Linux运维
论坛徽章:
203
拜羊年徽章
日期:2015-03-03 16:15:432015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:57:092015小元宵徽章
日期:2015-03-06 15:58:182015年亚洲杯之约旦
日期:2015-04-05 20:08:292015年亚洲杯之澳大利亚
日期:2015-04-09 09:25:552015年亚洲杯之约旦
日期:2015-04-10 17:34:102015年亚洲杯之巴勒斯坦
日期:2015-04-10 17:35:342015年亚洲杯之日本
日期:2015-04-16 16:28:552015年亚洲杯纪念徽章
日期:2015-04-27 23:29:17操作系统版块每日发帖之星
日期:2015-06-06 22:20:00操作系统版块每日发帖之星
日期:2015-06-09 22:20:00
10 [报告]
发表于 2015-06-10 22:57 |只看该作者
我们公司的服务器也会定期做等级保护测评,建议楼主使用灰度升级,逐一升级,不要一次全部升级
减少宕机风险 ,先停机一台,升级好ssh等相关软件包版本,再到下一台,Windows也是,一次下载全部补丁,各个Windows服务器共享这些补丁
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP