- 论坛徽章:
- 1
|
本帖最后由 listen47 于 2015-06-29 13:33 编辑
问题如下:
手头一系统需等保测评,测评公司用一软件扫描发现操作系统(生产应用主机系统为redhat5.x)存在一些漏洞,漏洞报表上的漏洞处理方法感觉有点不靠谱。
需修复的高危漏洞如下:
高危险 OpenSSH‘hash_buffer’函数缓冲区溢出漏洞(CVE-2014-1692)
高危险 OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)
高危险 Apache Tomcat 拒绝服务漏洞(CVE-2014-0075)
高危险 Apache HTTP Server拒绝服务漏洞(CVE-2011-3192)(精确扫描)
处理方式:
较简单方式是做openssh和apache大版本升级,不过就怕后续产生一些问题,就更麻烦了。
现在有一想法,请各位大牛帮忙看下是否可行:
上面4个高危漏洞都是基于ssh和http协议的,是否可以在火墙上做下策略,只允许LAN内有交互的设备数据包通过,丢弃其它来源包?
请问下有处理这种问题经验得高手,这种方式可行么,有其它厉害的处理方式么?谢谢了
--------------------------------------------------------------------------------------------------------------------
感谢各位网友不倦教诲,非常感谢。最终结论:
采用rpm升级方式处理 |
|