本文只是仅针对绿盟漏洞扫描结果,在RHEL/CentOS/OEL5.x x64位版本中会存在如下高危漏洞,这里整理解决办法,经过再次漏洞扫描,漏洞已修补。 高危 OpenSSH 'schnorr.c'远程内存破坏漏洞(CVE-2014-1692) OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478) OpenSSH GSSAPI远程代码执行漏洞(CVE-2006-5051) GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271) GNU Wget符号链接漏洞(CVE-2014-4877) 中危 OpenSSH 默认服务器配置拒绝服务漏洞(CVE-2010-5107) OpenSSH glob表达式拒绝服务漏洞(CVE-2010-4755) OpenSSH 权限许可和访问控制漏洞(CVE-2014-2532) OpenSSH verify_host_key函数SSHFP DNS RR检查绕过漏洞(CVE-2014-2653) OpenSSH S/Key远程信息泄露漏洞(CVE-2007-2243) 1. RHEL/CentOS/OEL5/6.x x64位版本,操作系统高威漏洞升级openssh到6.6p1, 会消除如下高中危漏洞,低危漏洞可以忽略掉了。 (1) 采用原源包安装 (2) 采用rpm安装包进行升级安装,这里采用rpm包升级补丁。 查看openssh包 rpm -qa|grep openssh 一个个卸载 rpm -e openssh --nodeps rpm -e openssh-server --nodeps rpm -e openssh-clients --nodeps rpm -e openssh-askpass 或一次性卸载,可以在线打。 rpm -e --nodeps `rpm -qa |grep openssh` 复制如下安装包: 安装包下载地址:http://down.51cto.com/data/2135008 rpm -ivh openssh-6.6.1p1-2.gf.el5.x86_64.rpm openssh-askpass-6.6.1p1-2.gf.el5.x86_64.rpm openssh-clients-6.6.1p1-2.gf.el5.x86_64.rpm openssh-server-6.6.1p1-2.gf.el5.x86_64.rpm libedit-20090923-3.0_1.el5.rf.x86_64.rpm # ssh -V OpenSSH_6.6.1p1, OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 重启ssh服务: # service sshd restart 2. bash漏洞检测 GNU Bash 环境变量远程命令执行漏洞(CVE-2014-6271) (1) bash漏洞检测方法和修复更新包 env x='() { :;}; echo vulnerable' bash -c "echo this is a test" 如果出现以下结果,就必须立即打上补丁修复。 vulnerable this is a test 如果出现以下结果,则表明漏洞修复成功 this is a test (2) 下载rpm包,注网站是有效的,如果不能下载,需要进入目录中找到同名最新安装包下载即可。 CentOS 5 http://mirrors.pubyun.com/centos/5/updates/x86_64/RPMS/bash-3.2-33.el5_11.4.x86_64.rpm CentOS 6 http://mirrors.pubyun.com/centos/6/updates/x86_64/Packages/bash-4.1.2-15.el6_5.2.x86_64.rpm Centos 7 http://mirrors.pubyun.com/centos/7.0.1406/updates/x86_64/Packages/bash-4.2.45-5.el7_0.4.x86_64.rpm # rpm -Uvh bash-3.2-33.el5_11.4.x86_64.rpm 采用升级方式安装即可。 3. GNU Wget符号链接漏洞(CVE-2014-4877) 两个方法,一是直接卸载掉不用,第二个方式就是采用源码安装。 下载wget源码包: # wget http://ftp.gnu.org/gnu/wget/wget-1.17.tar.gz 直接卸载掉 # rpm -e --nodeps wget # tar zxvf wget-1.17.tar.gz # ./configure # make && make install (责任编辑:IT) |