本文汇总了使用漏洞修复、基线检查和云平台配置检查功能时的常见问题。

如何手动检测服务器上的Linux软件漏洞?

如果您需要手动检测您服务器上的系统软件漏洞,您可以参考如何手动检测Linux软件漏洞

建议您使用云安全中心的系统软件漏洞功能定期自动检测服务器上的系统软件漏洞,以便及时发现漏洞。

如何获取当前软件版本及漏洞信息?

云安全中心通过匹配您服务器上的系统软件版本和存在漏洞(CVE 漏洞)的软件版本,判断您的服务器是否存在软件漏洞。因此,您可以通过以下方式查看当前软件版本的漏洞信息:
  • 在云安全中心中查看当前软件版本及漏洞信息

    您可以在云安全中心控制台安全防范 > 漏洞修复页面,查看云安全中心在您的服务器上检测到的系统软件版本及漏洞信息。关于云安全中心对系统软件漏洞的各项参数说明,请参见Linux软件漏洞各参数说明

  • 在您的服务器上查看当前软件版本信息
    您也可以在服务器上直接查看当前软件版本信息:
    • CentOS系统

      执行rpm -qa | grep xxx命令查看软件版本信息。其中,xxx为软件包名。例如,执行rpm -qa | grep bind-libs命令查看服务器上的bind-libs软件版本信息。

    • Ubuntu和Debian系统
      执行dpkg-query -W -f '${Package} -- ${Source}\n' | grep xxx命令查看软件版本信息。其中,xxx为软件包名。例如,执行dpkg-query -W | grep bind-libs命令查看服务器上的bind-libs软件版本信息。
      说明 如果显示无法找到该软件包,您可以执行dpkg-query -W查看服务器上安装的所有软件列表。
    通过以上命令获取您服务器上的软件版本信息后,您可以将得到的软件版本信息与云安全中心系统软件漏洞中检测到的相关漏洞的说明信息进行对比。漏洞说明参数中的软件命中分别指当前软件版本和漏洞的匹配命中原因。
    说明 如果升级后旧版本软件包还有残留信息,这些旧版本信息可能仍会被云安全中心检测收集,并作为漏洞上报。如果确认是由于这种情况触发的漏洞告警,建议您选择忽略该漏洞。您也可以使用yum remove或者apt-get remove命令删除旧版本的软件包。删除前,请务必确认所有业务和应用都不再使用该旧版本软件。

如何将Ubuntu 14.04系统的3.1*内核升级至4.4内核?

注意 系统内核升级有一定风险,强烈建议您参考 服务器软件漏洞修复建议 中的方法进行升级。
参考以下方法将Ubuntu 14.04系统的3.1*内核升级至4.4内核。
  1. 执行uname -av命令,确认当前服务器的系统内核版本是否为3.1*。确认系统内核版本
  2. 执行以下命令,查看是否已有最新的内核Kernel更新包。
    apt list | grep linux-image-4.4.0-94-generic
    apt list | grep linux-image-extra-4.4.0-94-generic
  3. 如果没有相关更新,您可执行apt-get update命令获取到最新的更新包。
  4. 执行以下命令,进行内核升级。
    apt-get update && apt-get install linux-image-4.4.0-94-generic
    apt-get update && apt-get install linux-image-extra-4.4.0-94-generic
  5. 更新包安装完成后,重启服务器完成内核加载。
  6. 服务器重启后,执行以下命令验证内核升级是否成功。
    • 执行uname -av命令查看当前调用内核。查看当前调用内核
    • 执行dpkg -l | grep linux-image命令查看当前内核包情况。查看当前内核包情况

漏洞修复完成后我是否还需要重启系统?

在云安全中心控制台完成Linux内核漏洞修复后,还需要对服务器系统进行重启,漏洞修复才能生效。

满足以下任一条件您可以判定漏洞修复后需要重启系统:
  • 您的服务器是Linux系统服务器,并且修复的漏洞为Linux内核漏洞。
  • 云安全中心控制台安全防范 > 漏洞修复 Linux软件漏洞页面,该漏洞的漏洞公告信息中有需要重启的标签。需要重启的Linux内核漏洞

内核漏洞升级修复后,云安全中心仍然提示存在漏洞如何处理?

由于内核升级比较特殊,可能会存在旧版本内核信息残留的问题。如果确认该漏洞告警是由于旧版本信息残留造成的,您可以选择忽略该漏洞告警,或者在服务器中手动删除旧版本的残留信息。可参考以下步骤。

  1. 确认内核升级完成后,执行uname -av命令和cat /proc/version命令查看当前内核版本,确保当前使用的内核版本已符合漏洞说明命中条件中的要求。
  2. 执行cat /etc/grub.conf命令查看配置文件,确认当前已经调用最新的内核版本。
  3. 由于Linux系统软件漏洞检测功能主要是通过针对版本进行匹配检测,如果系统中依然存在旧版本的内核rpm安装包,仍将会被云安全中心检测到并进行漏洞告警。您需要确认当前系统中已经没有旧版本rpm安装包残留。如果有,您可以在服务器中对旧版本安装包进行卸载。
    说明 卸载旧版本安装包前,请务必确认当前系统已经使用新内核。强烈建议您在卸载旧版本内核安装包前,为您的系统创建快照,以便卸载旧版本发生异常情况时对系统进行恢复。
如果由于某些原因不想卸载老版本内核,在您确认系统已经调用新内核后,可以参考如下步骤忽略该系统漏洞告警提醒。
  1. 登录云安全中心管理控制台
  2. 在左侧导航栏单击安全防范 > 漏洞修复
  3. Linux软件漏洞页面定位到该漏洞,单击漏洞名称进入漏洞详情页面。
  4. 在操作列下单击更多按钮下的忽略按钮。

云安全中心管理控制台中某些漏洞提示无更新如何处理?

  • 您在对某些漏洞进行更新修复时,可能收到以下提示:
    Package xxx already installed and latest version
    Nothing to do
    或者
    No Packages marked for Update

    这种情况是由于官方更新源暂时还未提供更新,请您等待官方更新源的更新。

    目前已知未更新的软件包包括:
    • Gnutls
    • Libnl
    • Mariadb
  • 您已经更新到了最新的软件包,但仍然无法满足云安全中心管理控制台中报告的软件版本条件。

    请检查您的操作系统版本是否在官方的支持范围中。例如,截止到2017年9月1日,官方已经停止对CentOS 6.2-6.6/7.1等版本的支持。这种情况下,建议您在云安全中心管理控制台中忽略该漏洞(该漏洞对您服务器的风险可能依然存在),或者升级您的服务器操作系统。

Linux软件漏洞各参数说明

您可以在云安全中心控制台安全防范 > 漏洞修复Linux软件漏洞页签下,查看到云安全中心在您的资产中检测到的Linux软件漏洞。您可以单击需要查看的漏洞名称,进入该漏洞的详情页面。以下内容介绍详情页面展示的Linux软件漏洞相关参数。
  • 漏洞公告
    Linux软件漏洞公告的名称,一般以CVE 、RHSA或USN开头。例如,RHSA-2016:2972: vim security update。漏洞公告
  • 影响分

    漏洞影响分(即CVSS分值)是依据行业公开标准,通用漏洞评分系统(Common Vulnerability Scoring System),对该漏洞判定的一个分值。主要用于评测漏洞的严重程度,可以帮助您确定所需反应的紧急度和重要度。

  • 漏洞编号

    漏洞编号是漏洞对应的CVE漏洞号(即CVEID),例如CVE-2016-XXXX。Common Vulnerabilities & Exposures(CVE)是已被广泛认同的信息安全漏洞或者已经暴露的弱点的公共名称。您可以快速地在任何其它CVE兼容的数据库中找到相应漏洞修复的信息,帮助您解决安全问题。

  • 漏洞紧急程度
    漏洞紧急程度即漏洞修复的优先级,分为高、中、低3个等级。漏洞等级
    说明 上图示例中的漏洞为等级漏洞,此漏洞可以延后修复。
    • 等级的漏洞包括:
      • 可直接获取服务器系统权限的漏洞。
      • 可直接获取重要的敏感信息导致数据泄漏的漏洞。
      • 可直接导致敏感信息越权访问的漏洞。
      • 可造成大范围影响的其他漏洞。
    • 等级的漏洞包括:
      • 可间接获取服务器和应用系统的普通权限的漏洞。
      • 可导致任意文件读取、下载、写入、或删除的漏洞。
      • 可导致敏感信息泄漏的漏洞。
      • 可直接导致业务中断、或远程拒绝服务的漏洞。
    • 等级的漏洞包括:
      • 需要进行交互才能影响用户的漏洞。
      • 可导致普通越权操作的漏洞。
      • 通过本地修改配置或获取信息之后,可进一步利用的漏洞。
      • 可导致本地拒绝服务的漏洞。
      • 其他危害较低的漏洞。
  • 影响说明

    漏洞的影响说明提供了该漏洞当前软件版本、漏洞程序命中原因和漏洞程序所在路径信息。

    在某个漏洞的详情页面,单击具体漏洞操作栏更多下的详情,可查看当前漏洞的影响说明等信息。漏洞详情说明
    影响说明包含以下信息。
    • 软件:云安全中心检测到服务器中出现漏洞的软件的版本信息。上图示例中,检测到服务器上的mariadb-libs当前版本是 5.5.52-1.el7。
    • 命中:该软件漏洞的命中原因,一般是由于当前软件版本不满足或者小于某个版本(以小于某个版本为主),导致存在该漏洞。上图示例中,该软件漏洞命中的原因为mariadb-libs软件版本低于1:5.5.56-2.el7。
    • 路径:云安全中心检查到的漏洞程序在您服务器上的路径。上图示例中,mariadb-libs所在路径为 /etc/ld.so.conf.d/mariadb-x86_64.con
  • 操作
    您可对检测到的Linux漏洞执行以下操作:
    • 修复:修复该漏洞。
    • 验证:验证漏洞是否已修复成功。
    • 忽略:忽略该漏洞。

    更多详细信息请参见Linux软件漏洞

云安全中心是否支持Elasticsearch漏洞检测?

支持。

您可以在云安全中心控制台安全防范 > 漏洞修复 > 应用漏洞页面,查看是否检测出Elasticsearch漏洞。Elasticsearch的漏洞详情及修复方案,请参见Elasticsearch服务安全加固

说明 应用漏洞为企业版功能,基础版、基础杀毒版和高级版不支持。基础版、基础杀毒版和高级版用户需先升级到企业版,才可使用应用漏洞功能。

如何处理连接阿里云官方Yum源超时?

当连接阿里云官方Yum源超时时,会出现类似如下的报错信息:
[Errno 12] Timeout on http://mirrors.aliyun.com/centos/6/os/x86_64/repodata/repomd.xml: (28, 'connect() timed out!')

这种情况下,请检查您本机的DNS设置是否正常,并稍作等待。如果一段时间后仍无法解决,请提交工单,通过售后服务进行排查。

修复漏洞时,提示token校验失败,应该如何处理?

当您在云安全中心控制台执行某项操作,却收到token校验失效的提示时,您可以刷新当前页面,重新登录云安全中心控制台。
说明 您可按Ctrl+F5,强制刷新当前浏览器页面。

云安全中心无法验证系统漏洞修复时,应该如何处理?

当云安全中心无法验证系统漏洞修复时,请按照以下步骤进行排查:
  1. 查看漏洞的版本信息。
  2. 确认系统是否使用阿里云的官方源。
  3. 确认系统升级后是否执行过验证操作。
    说明 升级内核需重启才能生效。
  4. 确认选择修复的版本不低于云安全中心建议的版本。

如果以上方案未能解决问题,建议您升级操作系统。

为什么漏洞修复后手动验证没有反应?

您在服务器上手动执行云安全中心生成的系统软件漏洞修复命令,将相关的系统软件成功升级到新的版本,并且该版本已符合云安全中心控制台漏洞管理页面的描述要求;然而,当您在云安全中心管理控制台的漏洞处理页面,选择相应的漏洞,单击验证,该漏洞的状态没有正常更新为已修复。

您可以使用以下方法进行排查,解决该问题:
  • 检查漏洞扫描等级

    执行如下步骤,检查漏洞扫描等级。

    1. 登录云安全中心控制台
    2. 在左侧导航栏单击安全防范 > 漏洞修复
    3. 漏洞修复页面单击右上角漏洞管理设置
    4. 漏洞管理设置页面,查看漏洞扫描等级选中的等级。

    如果对应的扫描等级没有选中,则相应等级的漏洞数据不会自动更新。您可以根据需要选择对应的扫描等级。

  • 云安全中心Agent版本过低

    如果您服务器上的云安全中心Agent版本过低,则可能不支持漏洞扫描功能。如果您的云安全中心Agent没有正常自动更新,建议您手动安装最新版云安全中心Agent。更多信息请参见安装Agent

  • 云安全中心Agent离线

    如果您服务器上的云安全中心Agent显示为离线,您将无法通过漏洞管理的验证功能对您的服务器进行验证。建议您排查Agent离线原因,确保您服务器上的云安全中心Agent在线。更多信息请参见Agent 离线排查

为什么进行漏洞回滚操作会失败?

当通过云安全中心漏洞管理功能对某个漏洞进行回滚操作时,提示回滚失败,您可以参考以下步骤排查问题:
  1. 确认您的服务器的云安全中心Agent处于在线状态。如果您的服务器显示离线,请排查Agent离线原因。更多信息请参见Agent 离线排查
  2. 确认您服务器上该漏洞的相关文件是否已被手工修改或者删除。
    说明 如果在漏洞修复后相关文件已被手动修改或者删除,云安全中心为了防止误改动您的文件,不会对该漏洞的相关文件进行回滚。

漏洞扫描周期说明

云安全中心支持漏洞扫描和修复,覆盖Linux软件漏洞、Windows漏洞、Web-CMS漏洞、应急漏洞、应用漏洞等类型。以下表格展示了各类型漏洞默认的扫描周期。
漏洞类型 基础版 基础杀毒版 高级版 企业版
Linux软件漏洞 每隔一天自动扫描一次 每隔一天自动扫描一次 每天自动扫描一次 每天自动扫描一次
Windows系统漏洞 每隔一天自动扫描一次 每隔一天自动扫描一次 每天自动扫描一次 每天自动扫描一次
Web-CMS漏洞 每隔一天自动扫描一次 每隔一天自动扫描一次 每天自动扫描一次 每天自动扫描一次
应用漏洞 不支持扫描 不支持扫描 不支持扫描 每周自动扫描一次(支持修改自动扫描周期)
应急漏洞 仅支持手动扫描 仅支持手动扫描 仅支持手动扫描 仅支持手动扫描
容器镜像漏洞 不支持扫描 不支持扫描 不支持扫描 仅支持开通了容器镜像服务的用户进行手动扫描

如果需要开启或关闭某种类型漏洞的扫描能力,或修改应用漏洞的扫描周期,可使用漏洞管理设置功能。更多信息请参见漏洞管理设置。如果您需要立即扫描您的资产中是否存在漏洞,可使用云安全中心提供的一键扫描功能。更多信息请参见一键扫描漏洞

漏洞扫描完成后,您可在云安全中心控制台安全防范 > 漏洞修复页面查看漏洞检测的结果并进行相应处理。

漏洞扫描会扫描系统层面和应用层面的漏洞吗?

是的,漏洞扫描会扫描系统漏洞(主机上系统层级漏洞)和Web漏洞(应用层漏洞)。

漏洞实时扫描是如何实现的?

漏洞扫描每天会收集用户资产中新增的URL,然后在凌晨对这些新增的URL进行扫描。同时,还会扫描之前被曝出的漏洞,验证这些漏洞有没有被修复。实时主要指实时获取URL,等到凌晨再进行扫描。

基线检查验证失败如何处理?

云安全中心基线检查验证已修复风险项失败可能由以下原因导致:
  • Agent版本过低

    如果您服务器上的云安全中心Agent版本过低,可能导致基线检查失败。如果您的云安全中心Agent没有正常自动更新,建议您手动安装最新版Agent。安装Agent的详细操作请参见安装Agent

  • Agent离线

    如果您服务器上的云安全中心Agent显示为离线,云安全中心基线检查将无法执行。建议您对Agent离线进行排查,确保您服务器上的云安全中心Agent在线。Agent离线排查的详细内容请参见Agent离线排查