云安全中心支持检测并在控制台一键修复Linux软件漏洞。本文档介绍了如何查看Linux软件漏洞的相关信息和对Linux软件漏洞进行处理。

背景信息

云安全中心基础版基础杀毒版只提供漏洞检测,不提供漏洞修复的服务;如需一键修复漏洞,请开通云安全中心高级版企业版。基础版、基础杀毒版、高级版和企业版详细功能介绍请参见功能特性

查看漏洞基本信息

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击安全防范 > 漏洞修复
  3. Linux软件漏洞页面的漏洞列表中,查看云安全中心检测到的Linux软件漏洞关联的漏洞公告,漏洞公告名称通常以USNRHSACVE字符开头。
    • 查看漏洞公告信息查看漏洞公告信息
    • 查看漏洞的修复紧急度和影响资产数量
      漏洞的建议修复紧急度用不同颜色的图标表示,图标中的数字表示存在该漏洞的资产数量。以下是图标颜色和漏洞修复紧急度的对应关系:
      • 红色图标:表示漏洞修复紧急度为
      • 橙色图标:表示漏洞修复紧急度为
      • 灰色图标:表示漏洞修复紧急度为
      查看漏洞的修复紧急度建议
      说明 建议您立即修复紧急程度为的漏洞。
    • 将漏洞加入白名单

      您可在Linux软件漏洞页面,选中需要加入白名单的漏洞并单击加入白名单,将一个或多个漏洞加入白名单中。加入白名单后,云安全中心将不再对白名单中的漏洞进行告警。

      将漏洞加入白名单

      加入白名单的漏洞将从Linux软件漏洞的漏洞列表中移除,并记录在漏洞管理设置页面的漏洞白名单配置列表中。

      如需恢复云安全中心对白名单中漏洞的检测和告警提示,可在漏洞管理设置页面移除该漏洞。

      漏洞白名单配置
    • 批量修复漏洞
      批量修复功能会自动识别您选择的漏洞公告对应的资产,并修复这些资产中您所选择的漏洞。您可在Linux软件漏洞页面,选择需要批量修复的漏洞并单击批量修复。在批量修复对话框中查看云安全中心为您识别出的需要修复漏洞的资产列表,选择自动创建快照并修复不建立快照备份直接修复后,单击立即修复批量修复
      说明
      • 批量修复功能仅支持选择当前页面的漏洞,不支持跨页选择漏洞。漏洞列表每页可以展示10、20或50条漏洞信息,即您最多可以选择50个漏洞进行批量修复。
      • 部分过期的操作系统(厂商已不维护更新,无可适配补丁来修复漏洞)和商业版本的操作系统,需要在服务器中手动升级操作系统,才能修复漏洞。此类漏洞不支持批量修复。您执行批量修复操作后,云安全中心会自动为您忽略此类漏洞。以下操作系统中的漏洞不支持批量修复,需要在服务器中手动升级操作系统进行修复:
        • Red Hat 5、Red Hat 6、Red Hat 7、Red Hat 8
        • CentOS 5
        • Ubuntu 12
      • 系统在修复漏洞时,可能存在一定的失败风险,建议您在修复漏洞前选中自动创建快照并修复对系统进行快照备份。快照的更多信息请参见ECS服务的快照概述
      • 创建快照将产生一定的费用,费用由快照产品收取(40 GB的系统盘,快照存储一天的费用大约是0.15元)。快照计费方式更多信息请参见快照计费
    • 搜索漏洞

      您可在Linux软件漏洞页面,通过筛选漏洞危险等级(高、中、低)、漏洞处理状态(已处理、未处理)、资产分组、VPC名称或输入漏洞名称搜索到到相关的漏洞。

      搜索漏洞
      说明 漏洞名称支持模糊搜索。
    • 导出漏洞
      您可在Linux软件漏洞页面单击导出图标,将云安全中心检测到的所有Linux软件漏洞统一导出并保存到本地。导出的文件为Excel格式。
      说明 根据您资产中漏洞数据的大小,导出漏洞列表可能需要耗费一定时间,请耐心等待。

查看漏洞详情和处理漏洞

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击安全防范 > 漏洞修复
  3. 在Linux软件漏洞列表,定位到需要查看的漏洞。单击该漏洞的漏洞公告名称或操作栏的修复,可展开对应的漏洞详情页面。
  4. 漏洞详情页面,查看漏洞详情并处理漏洞。Linux软件漏洞
    您可根据需要执行以下操作。
    • 查看漏洞详情

      漏洞详情页面可展示该漏洞公告所有关联漏洞,及漏洞影响的所有资产信息,方便您对所有相关的漏洞进行分析和批量处理。您可以查看以下内容:

      • 漏洞详情页签查看该漏洞公告关联的所有漏洞、漏洞的描述、漏洞紧急度。
      • 单击待处理漏洞页签,查看漏洞影响的资产列表。

        您可查看该漏洞影响的所有资产和资产漏洞状态等信息,并可对漏洞执行验证、修复、加入白名单、忽略或回滚的操作。

      漏洞处理
      在漏洞影响资产列表中,单击影响资产下的资产名称,可跳转到资产中心 > 漏洞信息页面,为您展示该资产关联的所有漏洞信息。漏洞信息
    • 查看阿里云漏洞库详细信息
      漏洞详情页面,单击漏洞编号可跳转至阿里云漏洞库。漏洞编号

      您可在阿里云漏洞库页面,查看该漏洞更加详细的信息,包括漏洞的描述、基本信息、修复建议等信息。

    • 查看漏洞严重等级
      漏洞紧急度用不同颜色的图标表示:
      • 红色图标:表示漏洞修复紧急度为
      • 橙色图标:表示漏洞修复紧急度为
      • 灰色图标:表示漏洞修复紧急度为
      说明 建议您立即修复紧急程度为的漏洞。
    • 查看漏洞修复的关联进程
      在漏洞影响资产列表中,单击关联进程列的关联进程图标图标,查看漏洞关联进程,帮助您了解修复该漏洞可能会影响的进程或业务系统。关联进程
    • 查看漏洞详细状态

      漏洞状态可分为已处理和未处理:

      • 已处理
        • 修复成功:漏洞已执行一键修复并修复成功。
        • 已忽略:漏洞已执行忽略的操作,云安全中心将不再对该漏洞进行告警。
        说明 已处理的漏洞支持回滚操作,漏洞回滚后将重新变为未处理的状态。
      • 未处理
        • 未修复:漏洞待修复。
        • 修复中:漏洞正在修复处理中。
        • 修复失败:漏洞修复失败,可能因为漏洞文件已被修改或漏洞文件已不存在。
        • 修复成功待重启:漏洞已修复,需要重启系统生效。
        • 验证中:漏洞已修复,如果需要重启系统,完成重启后,执行验证。
    • 处理受影响资产漏洞

      您可在漏洞影响资产列表中,对受影响资产漏洞进行修复、验证、加入白名单、忽略或回滚的操作。

      处理漏洞

      以下内容介绍您可以执行的操作:

      • 修复漏洞
        您需要分以下两种情况修复漏洞:
        • 修复按钮显示正常

          单击修复,修复单个漏洞或批量修复多个关联漏洞。修复漏洞时支持自动创建快照并修复。您可以根据需要选择自动创建快照并修复不建立快照备份直接修复

          说明
          • 系统在修复漏洞时,可能存在一定的失败风险,建议您在修复漏洞前选中自动创建快照并修复对系统进行快照备份。快照的更多信息请参见ECS服务的快照概述
          • 创建快照将产生一定的费用,费用由快照产品收取(40 GB的系统盘,快照存储一天的费用大约是0.15元)。快照计费方式更多信息请参见快照计费
          创建快照并修复
        • 修复按钮显示为灰色
          修复按钮显示为灰色有以下原因:
          • 部分过期的操作系统(厂商已不维护更新,无可适配补丁来修复漏洞)和商业版本的操作系统,需要在服务器中手动升级操作系统,才能修复漏洞。
            说明 目前,以下操作系统中的漏洞,需要升级操作系统进行修复。
            • Red Hat 5、Red Hat 6、Red Hat 7、Red Hat 8
            • CentOS 5
            • Ubuntu 12
          • 服务器磁盘空间过小、文件权限设置等问题都可能会导致Linux软件漏洞修复失败。您需要先在服务器中手动处理以上问题,才能在云安全中心控制台上修复该服务器上的漏洞。以下是您需要在服务器中手动处理的异常情况:
            • 磁盘空间小于3 GB。

              处理建议:

              处理建议:扩容或清理磁盘后,再次在云安全中心控制台上尝试修复该漏洞。

            • APT-GET或APT/YUM进程正在运行中。

              处理建议:稍后或在服务器中手动结束APT-GET或APT/YUM进程,再次在云安全中心控制台上尝试修复该漏洞。

            • 执行APT、YUM或RPM命令时权限不足。
              处理建议:检查并合理管控文件权限,建议将文件权限设置为755,并确保文件所有者为root用户后,再次在云安全中心控制台上尝试修复该漏洞。
              说明 将文件权限设置为755表示文件所有者对该文件具有读、写、执行权限,该文件所有者所在用户组及其他用户对该文件具有读和执行权限。

          您可以将鼠标移至修复按钮处,查看云安全中心为您提供的操作系统升级相关提示或服务器问题处理建议。

      • 重启系统
        Linux内核漏洞需要在漏洞修复完成后重启系统。您可以通过以下两种方式重启系统:
        • (推荐)在控制台漏洞详情页面单击重启待重启的Linux内核漏洞
          说明 如果需要重启的服务器有其他漏洞在修复或验证中,则无法进行重启操作。单击重启后您将在控制台上看到重启失败的提示信息。您需要等待该服务器正在进行修复或验证的漏洞相应操作全部结束后,才能执行重启操作。
        • 在您的Linux服务器中使用命令行执行重启。
      • 验证漏洞

        单击验证,验证单个漏洞或批量验证多个关联漏洞,检测该漏洞是否已修复成功。

        单击验证后,该漏洞的状态转为验证中。需要等待数秒后漏洞验证才可完成。

      • 将漏洞加入白名单

        单击漏洞详情页面右上角加入白名单,将该漏洞加入白名单中。加入白名单后,云安全中心将不再对白名单中的漏洞进行告警。

        加入白名单的漏洞将从Linux软件漏洞的漏洞列表中移除,并记录在漏洞管理设置页面的漏洞白名单配置列表中。

        如需恢复云安全中心对白名单中漏洞的检测和告警提示,可在漏洞管理设置页面移除该漏洞。

      • 忽略漏洞

        定位到需要忽略的漏洞,单击其操作列忽略/回滚图标后选择忽略,在确认对话框中填写忽略操作说明并单击确定,云安全中心将不再提示该漏洞。

        您可以在已处理漏洞中查看已忽略的漏洞和忽略该漏洞时填写的操作说明。忽略漏洞操作说明
        说明忽略漏洞的状态将转为已忽略。如需云安全中心继续对该漏洞进行告警提示,可在已处理的漏洞列表中找到该漏洞并对其取消忽略
      • 回滚漏洞

        定位到需要回滚的漏洞单击其操作列忽略/回滚图标,并单击回滚。在回滚对话框中选择待回滚快照,单击确定

        回滚
    • 搜索漏洞影响资产

      在漏洞影响资产列表上方,通过筛选漏洞危险等级(高、中、低)、VPC名称、资产分组、漏洞处理状态(已处理、未处理)或输入服务器IP或名称定位到相关的漏洞影响的资产。

      搜索漏洞影响资产
      说明 服务器IP或名称支持模糊搜索。
    • 导出漏洞影响的资产列表
      在漏洞影响资产列表左上方,单击导出图标,将云安全中心检测到的该漏洞下的影响资产统一导出并保存到本地。导出的文件为Excel格式。
      说明 根据受影响资产数量的大小,导出资产列表可能需要耗费一定时间,请耐心等待。
    • 保存已筛选漏洞

      在漏洞影响资产列表左上方,单击保存筛选按钮图标保存筛选出的所有漏洞为一个漏洞修复批次,方便您对该批次漏洞的状态进行持续跟踪。

      保存筛选

Linux软件漏洞详情页说明

漏洞详情页项目 描述
漏洞编号 该漏洞对应的CVE漏洞号。Common Vulnerabilities & Exposures(CVE)是已被广泛认同的信息安全漏洞或者已经暴露的弱点的公共名称。通过漏洞编号(如CVE-2018-1123),您可以快速地在任何其它CVE兼容的数据库中找到相应漏洞修复的信息,帮助您解决安全问题。
影响分(CVSS分值) CVSS分值遵循被广泛采纳的行业标准-通用漏洞评分系统(Common Vulnerability Scoring System),根据漏洞的多种属性通过公式计算得出。主要用于量化漏洞的严重程度。
在CVSS v3.0评分体系中,不同分值代表的漏洞严重程度如下:
  • 0:无漏洞
  • 0.1~3.9:低危
    • 可导致本地拒绝服务的漏洞。
    • 其他危害较低的漏洞。
  • 4.0~6.9:中危
    • 需要进行交互才能影响用户的漏洞。
    • 可导致普通越权操作的漏洞。
    • 通过本地修改配置或获取信息之后,可进一步利用的漏洞。
  • 7.0~8.9:高危
    • 可间接获取服务器和应用系统的普通权限的漏洞。
    • 可导致任意文件读取、下载、写入、或删除的漏洞。
    • 可导致敏感信息泄漏的漏洞。
    • 可直接导致业务中断、或远程拒绝服务的漏洞。
  • 9.0~10.0:严重
    • 可直接获取服务器系统权限的漏洞。
    • 可直接获取重要的敏感信息,导致数据泄漏的漏洞。
    • 可直接导致敏感信息越权访问的漏洞。
    • 可造成大范围影响的其他漏洞。
影响资产 存在该漏洞的服务器资产信息,包括资产的公网或私网IP地址等。
紧急度 漏洞的严重等级,包括:
  • 紧急度

    高风险漏洞,建议尽快修复。

  • 紧急度

    中危漏洞,您可根据业务需要尽快修复或延后修复。

  • 紧急度

    低风险漏洞,您可根据业务需要尽快修复或暂不修复。

漏洞修复优先级详情,请参见漏洞修复优先级

详情 您可单击漏洞详情页面右侧详情查看修复命令、漏洞命中原因等信息。
  • 修复命令:执行该命令可修复对应的Linux软件漏洞。
  • 影响说明
    • 软件:该软件在当前服务器系统中的版本信息。
    • 命中:该漏洞的匹配命中原因,一般是由于当前软件版本不满足或者小于某个版本(以小于某个版本为主)。
    • 路径:该软件在服务器上的路径。
  • 风险重要提醒:关于漏洞的风险提醒、补充修复建议和参考文档。