云安全中心提供漏洞修复功能,支持对常见漏洞类型进行扫描和修复,可以帮助您更全面地了解并修复您资产中的漏洞风险。本文介绍漏洞修复功能支持扫描和修复的漏洞类型、漏洞修复的优先级以及对操作系统的限制说明。

支持扫描和修复的漏洞类型

下表介绍云安全中心的不同版本对各类型漏洞的扫描、修复的支持情况。

说明 下表中的标识说明如下:
  • 对:表示支持。
  • 错:表示不支持。
漏洞类型 功能模块 免费版 防病毒版 高级版 企业版 旗舰版
Linux软件漏洞 漏洞扫描 手动扫描 错 错 对 对 对
周期性自动扫描 对(默认每2天) 对(默认每2天) 对(默认每天) 对(默认每天) 对(默认每天)
漏洞修复 错 错 对 对 对
Windows系统漏洞 漏洞扫描 手动扫描 错 错 对 对 对
周期性自动扫描 对(默认每2天) 对(默认每2天) 对(默认每天) 对(默认每天) 对(默认每天)
漏洞修复 错 错 对 对 对
Web-CMS漏洞 漏洞扫描 手动扫描 错 错 对 对 对
周期性自动扫描 对(默认每2天) 对(默认每2天) 对(默认每天) 对(默认每天) 对(默认每天)
漏洞修复 错 错 对 对 对
应用漏洞 漏洞扫描 手动扫描 错 错 错 对 对
周期性自动扫描 错 错 错 对(每周,支持配置) 对(每周,支持配置)
漏洞修复 错 错 错 错 错
应急漏洞 漏洞扫描 手动扫描 对 对 对 对 对
周期性自动扫描 错 错 对(每周,支持配置) 对(每周,支持配置) 对(每周,支持配置)
漏洞修复 错 错 错 错 错
说明 云安全中心仅支持扫描应急漏洞和应用漏洞,不支持修复。您需要根据漏洞详情中提供的修复建议,登录服务器手动修复。

漏洞修复优先级

当您的资产被扫描出存在多个漏洞时,您可能无法确认优先修复哪个漏洞。针对此场景,云安全中心提供的阿里云漏洞脆弱性评分系统能评估修复漏洞的优先顺序,帮助您做出漏洞修复优先级决策。

阿里云漏洞脆弱性评分系统

通用漏洞评分系统(Common Vulnerability Scoring System,简称CVSS)在捕捉漏洞的范围和影响方面成效显著,该系统不仅能够评估某个漏洞被利用的可能性,还能很好地解释该漏洞一旦被利用会有什么后果。阿里云在CVSS的基础上,结合实际攻防场景下漏洞严重性级别开发了阿里云漏洞脆弱性评分系统。

阿里云漏洞脆弱性评分系统在使用CVSS确定漏洞修复优先级和严重性的基础上,根据云上实际攻防场景下漏洞严重性级别(严重、高、中和低),结合互联网实际披露的漏洞可利用程序状态,以及云安全中心入侵检测数据模型中的黑客利用漏洞的成熟度对漏洞进行评分,帮助企业提高资产高可利用风险漏洞的补救效率以及补救措施的有效性。
说明 漏洞的严重性级别由四个因素决定:
  • 技术影响
  • 利用成熟度(PoC、EXP、蠕虫或病毒武器化)
  • 风险威胁(服务器权限失陷与否)
  • 受影响数量级(互联网受影响IP量级决定漏洞被黑客关注程度)
漏洞评分

漏洞修复紧急度得分计算模型

漏洞修复的紧急度得分是一个动态变化的数据。当漏洞被披露时,阿里云漏洞脆弱性评分系统会根据漏洞本身固有特性所可能造成的影响给该漏洞一个基本评分,即阿里云漏洞脆弱性评分。随着时间的推移,通过软件版本的更新对漏洞进行修复,存在漏洞的系统越来越少,漏洞的威胁也越来越小,漏洞修复紧急度得分也应该随之降低。另外漏洞修复紧急度得分还与资产的部署环境、资产的重要性有关。

综合以上影响漏洞修复紧急度得分的因素,阿里云漏洞修复紧急度得分计算模型如下:

漏洞修复紧急度得分=阿里云漏洞脆弱性评分*时间因子*实际环境因子*资产重要性因子

计算模型中的各参数的说明如下:
参数 参数项解释 附加说明
阿里云漏洞脆弱性评分 基于阿里云漏洞脆弱性评分系统指标。 阿里云漏洞脆弱性评分系统指标,用来评测漏洞的严重程度。
时间因子 综合了漏洞缓解措施受部署的时间延迟和漏洞利用方法的普及等因素后,形成的一条动态变化的时间曲线。取值范围为0~1。 在漏洞公开的前三天,由于曝光率的增加,该漏洞被利用的机率会急剧增加,时间因子将从0增加并达到短暂的峰值(小于1),随后急剧下降。随着时间的推移,对漏洞成熟的利用手段将越来越多,漏洞实际利用难度在下降,时间因子将在100天之内逐渐增加并趋近于1。
实际环境因子 您服务器的实际环境。云安全中心对该漏洞利用所需的条件和您服务器的状态进行综合考虑,得出一个环境风险因子。实际环境因子对判断漏洞风险非常重要。

当前纳入参考的环境因素有:

  • 您的服务器已与公网连接:
    • 如果漏洞属于一个可以远程利用的漏洞,则环境因子取值为1.5。
    • 如果漏洞属于一个可利用的漏洞,则环境因子取值为1.2。
    • 如果漏洞属于本地利用,则环境因子取值为1。
    • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
  • 您的服务器只连接了内网,未连接公网:
    • 如果漏洞属于一个可以远程利用的漏洞,则通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
    • 如果漏洞属于一个可利用的漏洞,则环境因子为1.2。
    • 如果漏洞属于本地利用,则环境因子为1。
    • 对某些需要云上难以复现的环境来利用的漏洞,通过环境因子大幅降权,云安全中心根据您服务器的实际情况动态调整权重。
资产重要性因子 当服务器数量很多时,系统为不同的服务器资产赋予不同使用场景下的重要性分值,并把该分值纳入漏洞修复紧急度得分的计算之中,为您有序修复漏洞提供有价值的参考。 资产重要性因子默认值为1。您可以在资产中心页面设置资产重要性为重要资产一般资产测试资产。以下是不同类型资产对应的资产重要因子:
  • 重要资产:1.5
  • 一般资产:1
  • 测试资产:0.5

漏洞修复优先级

您可根据漏洞修复紧急度得分按照漏洞修复的优先级顺序修复漏洞。

漏洞修复紧急度得分与修复优先级对照表如下:
优先级 描述 修复紧急度得分 修复建议
该评级是针对未经身份验证的远程攻击者可以轻松利用并导致系统受损(任意代码执行)而无需用户交互的漏洞。此类漏洞通常为蠕虫、勒索软件等利用的漏洞。 13.5分以上 该漏洞需尽快修复。
该评级适用于潜在可能危及资源的机密性、完整性或可用性的缺陷。此类漏洞通常为暂无法真实可利用,但官方或互联网上披露的评级较高漏洞,建议持续关注。 7.1~13.5分 该漏洞可延后修复。
该评级适用于能被成功利用可能性极低或者成功利用后无实际风险的漏洞。此类漏洞通常是程序源代码中的BUG缺陷,以及对合规场景和业务性能有影响的漏洞。 7分以下 该漏洞暂可不修复。
说明
  • 由于网络抖动等原因导致云安全中心无法获取该漏洞的环境因子时,漏洞修复建议会展示为暂可不修复。
  • 应急漏洞和Web-CMS漏洞均为阿里云安全工程师确认后的高危漏洞,建议您尽快修复这两类漏洞。

限制说明

云安全中心针对服务器的操作系统版本,存在以下限制。

  • 漏洞扫描和修复功能支持以下操作系统版本
    操作系统类型 版本
    CentOS CentOS 7、CentOS 5(EOL之前的漏洞)、CentOS 6(EOL之前的漏洞)、CentOS 8(EOL之前的漏洞)
    Redhat Redhat 7、Redhat 8、Redhat 5(EOL之前的漏洞)、Redhat6(EOL之前的漏洞)
    Ubuntu Ubuntu 12(EOL之前的漏洞)、Ubuntu 14(EOL之前的漏洞)、Ubuntu 16(EOL之前的漏洞)、Ubuntu 18、Ubuntu 20、Ubuntu 21
    Windows Server Windows Server 2008(EOL之前的漏洞)、Windows Server 2012、Windows Server 2016、Windows Server 2019
    Alibaba Cloud Linux Alibaba Cloud Linux 2.1903、Alibaba Cloud Linux 3
    Anolis OS Anolis OS 8、Anolis OS 7.9
  • 操作系统生命周期限制
    针对下表所示的已终止生命周期(EOL)的操作系统,云安全中心在EOL时间之后不再继续扫描和修复对应的漏洞补丁。
    操作系统版本 官方终止生命周期(EOL)时间 云安全中心支持漏洞补丁情况
    Windows Server 2003 2015年07月14日 云安全中心支持和修复2015年07月14日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    Windows Server 2008 2020年01月14日 云安全中心支持检测和修复2020年01月14日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    Windows Server 2008 R2 2020年01月14日 云安全中心支持检测和修复2020年01月14日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    Windows Server 2008 SP2 2020年01月14日 云安全中心支持检测和修复2020年01月14日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    Ubuntu 12.04 LTS 2017年04月28日 云安全中心支持检测和修复2017年04月28日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    Ubuntu 14.04 LTS 2019年04月 云安全中心支持检测和修复2019年04月之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    Ubuntu 16.04 LTS 2021年05月 云安全中心支持检测和修复2021年05月之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    CentOS 5 2017年03月31日 云安全中心支持检测和修复2017年03月31日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    CentOS 6 2020年11月30日 云安全中心支持检测和修复2020年11月30日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    CentOS 8 2021年12月31日 云安全中心支持检测和修复2021年12月31日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    Redhat 5 2017年03月31日 云安全中心支持检测和修复2017年03月31日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。
    Redhat 6 2020年11月30日 云安全中心支持检测和修复2020年11月30日之前出现的漏洞补丁,不再支持检测和修复该日期之后出现的漏洞。

相关文档

漏洞扫描周期说明

基线和漏洞有什么区别?

我有台服务器在资产中心无法开启漏洞检测怎么办?