漏洞管理常见问题

扫描行为与结果问题

• 为何同一台机器报告多个相同漏洞？

  应用漏洞检测以具体运行的进程实例为检测对象，如果服务器上运行了多个存在相同漏洞的进程实例（例如，在不同端口上启动了两个相同的 Tomcat 服务），系统将为每个进程实例分别报告一个漏洞。如果服务器上仅安装了含漏洞的软件但其对应进程未运行，则不会检测出该漏洞。

• 为何Fastjson 这类漏洞扫描结果可能不一致？

  此类漏洞的检测依赖于其组件（如 JAR 包）是否在扫描期间被加载至“运行时”状态。在动态加载模式下，只有当包含漏洞的组件被业务逻辑实际调用时，漏洞才能被有效识别。因此，不同时间点的扫描结果可能存在差异。

  说明

  为提升此类漏洞的检测准确率，建议执行周期性或多次扫描。

• 客户端离线后，为何控制台仍然显示该主机的漏洞记录？

  客户端离线后，已检测出的漏洞记录会保留在云端控制台，但这些记录会自动失效且无法进行相关操作（如修复、验证或清除记录）。漏洞自动失效周期如下：

  重要

  所有数据仅在云安全中心服务到期且超过7天未续费的情况下才会被彻底清除。

  • Linux软件漏洞、Windows系统漏洞：3天后失效。

  • 应用漏洞：30天后失效。

  • 应急漏洞：90天后失效。

• 手动扫描会影响自动扫描计划吗？

  手动执行一键扫描不会影响系统原有的自动扫描计划，两者相互独立。自动扫描（如Linux软件漏洞、Windows系统漏洞每日或每两日一次）会按既定周期继续执行，不受手动扫描影响。

• 扫描进度停滞，怎么办？

  如果扫描任务进度长时间停滞或显示为 0/检测中，请按以下步骤排查：

  1. 检查客户端状态：确认目标服务器的云安全中心 Agent（客户端）状态是否正常在线。如果状态异常，尝试刷新页面或在服务器端重启 Agent 服务以更新状态。

  2. 定位失败服务器：在漏洞管理页面右上角单击任务管理，查看具体扫描任务详情，定位扫描失败的服务器。

  3. 对失败服务器执行应急扫描：在漏洞管理页面右上角单击漏洞管理设置，找到应急漏洞扫描周期选项，单独勾选扫描失败的服务器，执行一键扫描以尝试完成剩余漏洞的检测。

  4. 扫描报告显示漏洞数为 0：如果扫描完成但报告显示漏洞数为 0，建议先手动执行一键扫描和病毒查杀任务，待扫描完成后再次查看或导出报告。

性能影响与安全性问题

• 漏洞扫描或应急漏洞的主动验证（POC）会影响业务系统吗？

  通常无影响。云安全中心的主动验证（POC）仅发送极少量（1-2个）的无害化探测请求，不执行任何形式的攻击或破坏性行为。若目标应用对非预期输入的处理逻辑极其脆弱，极端情况下存在微小的未知风险。

• 漏洞扫描为何会触发内存超限（OOM）？

  云安全中心客户端设置内存限制（默认200MB）。扫描占用超过限制值时，系统OOM机制会主动终止检测进程（ALiSecCheck），以节省资源。

  说明

  • 此限制通常是由名为aegisRtap0 的控制组 （cgroup）管理，相关OOM信息可于 dmesg 日志中查询。

  • 此现象属于正常行为，与系统内存不足无关，无需用户干预。

  • 这种 OOM 是由控制组的内存限制导致的，并不意味着整个系统的内存不足。

扫描范围与能力问题

1. 漏洞扫描覆盖哪些范围？

   扫描同时覆盖系统和应用两个层面：

   • 系统层面：Linux 软件漏洞、Windows 系统漏洞。

     重要

     Windows 系统漏洞仅支持扫描月度安全更新补丁。

   • 应用层面：应用漏洞、应急漏洞。

2. 如何查看云安全中心支持检测的漏洞列表？

   1. 登录云安全中心控制台。

   2. 在左侧导航栏，单击漏洞管理，进入漏洞扫描页面。在概览部分，找到 “已支持漏洞” 的统计卡片。

   3. 单击该卡片上显示的漏洞总数，即可进入列表页面，查看所有支持检测的漏洞及其详细信息。

3. 是否支持 Elasticsearch 等特定漏洞的检测？

   支持。 可以在控制台的应用漏洞页面查看 Elasticsearch 等服务的漏洞检测结果。

   说明

   此功能仅支持包年包月服务（企业版、旗舰版）和按量付费服务（主机全面防护、主机及容器全面防护）。如果当前的版本不支持此功能，请先升级。

扫描范围与能力问题

• 云安全中心是否会对未收录的 CVE 漏洞进行告警？

  云安全中心仅对已收录在漏洞库中的已知漏洞进行告警。若 CVE 编号尚未被官方披露或收录（如 CVE-2026-31431 等尚未披露的编号），系统无法识别该风险，因此不会发送提醒。若漏洞已披露且有补丁但仍未检出，建议核实是否已手动修复或采取缓解措施。建议关注阿里云安全公告，待漏洞正式披露且厂商发布补丁后，云安全中心将更新检测规则并支持扫描。

• 漏洞规则分类调整后在哪里查看最新分类？

  部分漏洞规则可能因误报等原因从应用漏洞分类下线，调整为通过系统漏洞形式支持扫描。可在漏洞管理页面的已支持漏洞列表中查找最新分类。

• 云安全中心是否支持 Ubuntu 24.04 系统？如何手动扫描漏洞？

  云安全中心支持手动扫描漏洞，通常主流 Linux 发行版均在支持范围内。操作方法：登录控制台后选择风险治理 > 漏洞管理，左上角选择资产所在区域，点击一键扫描并勾选漏洞类型确认；或在主机资产页面勾选目标服务器，通过安全检查中的漏洞检测进行扫描。关于 Ubuntu 24.04 等具体 OS 版本的支持情况，请以控制台实际扫描结果为准。

扫描行为与结果问题

• 为什么云安全中心与第三方安全软件（如火绒）的检测结果不一致？

  云安全中心主要检测 Windows 系统定期发布的官方补丁（如累积更新 KBxxxxx），而火绒等第三方安全软件可能未涵盖此类系统级补丁的检测，或其检测策略不同。因此出现结果差异属于正常现象。

• 未开启的实例资产为什么仍报高危漏洞？

  可能原因包括：

  1. 历史遗留资产（未彻底释放的实例或快照）。

  2. 关联资源风险（如 OSS、RDS 等其他云产品的配置弱点）。

  3. 数据同步延迟。

  若告警状态显示为「已通过」，说明当前无活跃风险，可忽略。

• 关闭「仅显示真实风险漏洞」开关后为什么出现大量历史漏洞并影响安全评分？

  应用漏洞可能在之前已扫描到，但因开启该开关而未展示。关闭开关后，历史漏洞会被展示并导致安全评分刷新。等待一段时间后评分会再次更新。

• 新扫描是否会使用或恢复历史漏洞库？

  不会。云安全中心仅保留当前有效的漏洞数据（即最近 30 天内被检测到的漏洞）。每次扫描都是基于当前资产状态的独立检测，已失效清除的历史漏洞记录不会被重新加载。

• 如何区分云安全中心漏洞扫描结果是主动扫描还是被动检测？

  云安全中心漏洞扫描结果中，标记为「Web 扫描器」的属于主动扫描（通过公网 IP 发送探测请求验证），建议优先修复；标记为「软件成分分析」的属于被动检测（通过 Agent 采集本地软件版本信息比对）。

• 应用漏洞检测结果中为什么不显示具体文件路径？

  应用漏洞检测以具体运行的进程实例为对象。若检测到漏洞但未显示具体文件路径，可参考漏洞详情中的建议或常见路径（如 Tomcat 工作目录下的 jar 包）进行人工核查。对于某些复杂漏洞（如 Jackson 反序列化），可能需要登录服务器根据提供的潜在路径（如 /data/.../jackson-databind-*.jar）进行确认。

• 云安全中心漏洞扫描结果是否覆盖历史数据？

  是。云安全中心漏洞扫描完成后，检查结果会自动更新（覆盖）到控制台该资产的详情页面。可登录云安全中心控制台，在左侧导航栏选择风险治理 > 漏洞管理查看最新结果，或点击右上角任务管理查看扫描任务的执行状态和详情。

修复限制与原理类问题

• 为什么修复漏洞时修复按钮为灰色？

  • 产品版本限制

    • 版本过低：免费版、防病毒版不支持一键修复。

    • 解决方案：购买“漏洞修复”增值服务，或升级到企业版/旗舰版。

  • 服务器问题

    Linux 服务器问题

    • 操作系统已停止维护：厂商不再提供补丁，需手动升级操作系统版本。目前以下操作系统中的漏洞，需要升级操作系统进行修复。

      • Red Hat 5、Red Hat 6、Red Hat 7、Red Hat 8

      • CentOS 5

      • Ubuntu 12

      • Debian8、9、10

    • 磁盘空间不足：可用空间小于 3 GB，请清理或扩容磁盘。

    • 进程占用：apt 或 yum 进程正在运行。请等待其结束后重试，或手动终止该进程。

    • 权限不足：执行修复命令的用户权限不够。请确保文件所有者为 root 用户，并设置合理权限（如 755）。

    Windows 服务器问题

    • 磁盘空间不足：可用空间小于 500 MB，请清理或扩容磁盘。

    • Windows Update 服务异常：服务被禁用或正在运行。

      • 禁用：进入该服务器的系统服务管理器，开启Windows Update Service后，然后重新尝试修复该漏洞。

      • 正在运行：如果正在运行，请等待其结束或手动结束该服务器中的Wusa进程，然后重新尝试修复该漏洞。

• 应用漏洞和系统漏洞有什么区别？为什么应用漏洞不支持一键修复？

  • 系统漏洞（例如Linux软件漏洞、Windows系统漏洞）是操作系统或其组件的漏洞，修复路径标准化，因此支持一键修复。

  • 应用漏洞存在于自行部署的应用程序（例如网站代码、第三方软件）中，其修复方式与业务逻辑和代码实现紧密相关，无法在不了解业务的情况下自动修复，因此需要手动处理。

• 为什么服务器上会有这么多漏洞？ 

  随着新的攻击手法不断出现，旧版本软件中的漏洞会持续被发现，因此定期扫描和修复是持续性的安全工作。开启“仅显示真实风险漏洞”开关，可帮助聚焦于关键风险。

修复操作类问题

• 执行修复命令时，提示“权限获取失败，请检查权限后重试”怎么办？

  • 问题原因：执行修复操作所需文件的所属用户非 root，导致权限不足。

  • 解决方案：

    1. 定位文件：

       在云安全中心查看漏洞详情，确认需要修复的具体文件及其路径。

    2. 修改权限：

       登录服务器，执行以下命令，将文件所属用户更改为 root。

    3. 重试修复：

       返回云安全中心控制台，对该漏洞重新执行修复操作。

• 批量进行漏洞修复时，漏洞修复按照什么顺序执行？

  Linux软件漏洞按照控制台中漏洞列表的顺序执行批量修复。修复部分Windows系统漏洞时会需要先安装前置补丁，批量修复Windows系统漏洞时优先修复此类漏洞，其余漏洞按照控制台中漏洞列表顺序执行修复。

• 为什么Ubuntu内核补丁漏洞修复重启无效？

  • 问题现象：在云安全中心为 Ubuntu 服务器一键修复内核漏洞后，虽然提示“修复成功，待重启”，但重启服务器后，漏洞告警依然存在，系统并未启用新安装的内核。

  • 问题原因：通常是因为之前手动修改过 GRUB 引导菜单的默认启动顺序。在这种情况下，系统修复脚本无法自动将新安装的内核设置为默认启动项。

  • 解决方案：

    方案一：自动配置新内核

    此方案会放弃原有的 GRUB 自定义配置，让系统自动应用新内核的默认设置。

    操作步骤：

    1. 在执行漏洞修复前，登录到您的 Ubuntu 服务器。

    2. 执行以下命令，设置环境变量：

       <BASH>
       
       export DEBIAN_FRONTEND=noninteractive

    3. 返回云安全中心控制台，对该漏洞执行一键修复。

    4. 修复完成后按提示重启服务器，系统将自动启用最新内核。

    方案二：手动修改引导顺序

    如果需要保留原有的 GRUB 配置，可以选择此方案。

    操作步骤：

    1. 在云安全中心控制台正常执行一键修复并按提示重启服务器。

    2. 修复重启后，登录到您的 Ubuntu 服务器。

    3. 手动修改 GRUB 引导顺序，将新安装的内核版本设置为默认启动项。

       说明

       具体操作通常涉及修改 /etc/default/grub 文件并执行 update-grub 命令，相关操作可参考ECS Linux CentOS 修改内核引导顺序。

    4. 再次重启服务器，使新的引导顺序生效。

• 漏洞修复完成后是否还需要重启系统？

  • Windows系统：需要重启。

  • Linux软件漏洞：满足以下任一情况，则需要重启：

    • 修复的是内核漏洞。

    • 在云安全中心控制台风险治理 > 漏洞管理的Linux软件漏洞页签，该漏洞的漏洞公告信息中有需要重启的标签。

      

• 为什么进行漏洞回滚操作会失败？

  当漏洞回滚操作失败时，可按以下路径排查：

  1. 检查客户端（Agent）状态

     回滚操作依赖云安全中心 Agent 在线。若 Agent 处于离线状态，指令无法下发，需先排查并解决其离线问题。

  2. 确认备份快照有效性

     回滚功能基于修复前创建的备份快照。若快照因过期或被手动删除，则无法执行回滚。

• 修复漏洞时创建快照失败是什么原因？

  修复漏洞时创建快照失败可能是以下原因造成的：

  • 当前执行修复操作的账号是RAM账号：如果您当前使用的是RAM账号，并且该账号不具备创建快照的权限，控制台会提示您创建快照失败。建议您使用阿里云账号进行操作。RAM账号更多信息，请参见RAM用户概览。

  • 该服务器为非阿里云服务器：非阿里云服务器不支持创建快照修复漏洞。

修复后状态与验证类问题

• 漏洞已经修复了，但云安全中心仍提示存在漏洞怎么办？

  • 常见原因：出现该情况是因为部分漏洞（即Linux内核漏洞）修复后需要重启服务器。

  • 解决方案：请在漏洞详情页面，单击重启。重启完成后，单击验证，显示修复成功则代表该漏洞修复成功。

• 主机未安装相应补丁，为何显示Windows漏洞修复成功？

  这是 Windows 更新机制导致的正常现象，只需确保安装了最新的累积更新，即可修复其包含的所有历史漏洞，无需逐个安装旧补丁。

  说明

  可以访问微软官方补丁网站，查询最新安装的补丁（通常以 KB 号标识），查看其“程序包详细信息”，确认它是否已覆盖您关注的旧漏洞。

  • 核心原因：Windows 累积更新机制

    Windows 的安全更新采用“累积”模式。这意味着最新的月度安全补丁是一个集合包，它默认包含了发布日期前所有历史月份的安全修复。

  • 判定逻辑：当云安全中心检测到系统已安装最新的累积更新时，会将其覆盖的所有旧漏洞标记为“已修复”。因此，无需为每个历史漏洞单独安装补丁。

• 修复漏洞后，为什么在控制台还显示“未修复”？ 

  可能原因如下：

  1. 验证延迟：手动修复后，需要单击“验证”按钮触发即时扫描。状态更新需要几分钟时间。

  2. 缓存问题：控制台页面可能存在缓存，可尝试强制刷新页面或等待几分钟。

  3. 修复不彻底：修复操作可能未完全成功，或存在多个漏洞路径只修复了其中一个，请重新检查修复步骤。

• 修复成功待重启状态的漏洞，云安全中心能自动验证吗？

  不能。需要在云安全中心控制台执行重启操作，或者自行手动重启服务器。重启完成后，需单击验证，确认漏洞是否已被成功修复。

  重要

  若未主动验证，云安全中心会在后续的周期性扫描中自动检查。系统在首次扫描未发现该漏洞后，会将漏洞信息保留3天（以防网络等原因误判），若3天内持续未检出，则系统将清除该漏洞记录。

• 为什么漏洞修复后手动验证没有反应？

  在服务器上手动修复漏洞后，若云安全中心控制台的“验证”功能无法将漏洞状态更新为“已修复”，通常由以下两个原因导致：

  • 漏洞扫描等级配置不全

    • 原因：云安全中心只会扫描并更新在“漏洞管理设置”中已选定的风险等级。如果目标漏洞的风险等级（例如：高危、中危）未被勾选，系统将不会对该等级的漏洞状态进行更新。

    • 解决方案：检查并确保“漏洞管理设置”中的扫描等级已覆盖目标漏洞的风险级别。

  • 云安全中心客户端（Agent）离线

    • 原因：“验证”功能依赖于控制台与服务器上客户端的实时通信。若客户端处于离线状态，控制台无法下发验证指令或接收结果。

    • 解决方案：排查并解决客户端离线问题，确保其恢复在线状态后，再执行验证操作。

修复限制与原理类问题

• 操作系统停止维护（EOL）后，云安全中心是否支持漏洞扫描和修复？

  对于 CentOS 7.6 等已停止官方维护的系统版本，云安全中心不支持漏洞扫描和一键修复。若扫描未检出漏洞，需确认系统版本是否在支持范围内。若不在支持范围，建议根据内核发布时间自查或参考官方公告处理。可将操作系统升级至仍在官方支持周期内的新版本，或评估并确认风险可控后在控制台将该漏洞标记为「忽略」。

• 同一服务器部署多业务时，操作系统漏洞影响范围是什么？

  当同一服务器部署多业务时，操作系统漏洞的影响范围覆盖该服务器上的所有业务，因为共享同一个操作系统环境。建议对整台服务器进行系统补丁修复，修复前务必做好快照备份。

• 修复漏洞时是否需要重启服务器？对业务有何影响？

  • Windows 系统漏洞：必须重启服务器才能使补丁生效。重启会导致业务短暂中断，建议在业务低峰期操作，并选择「自动创建快照并修复」以便回滚。

  • Linux 内核漏洞：必须重启。若修复后状态仍为「待重启」，需在控制台点击重启或手动重启服务器，随后点击验证。

  • Linux 软件漏洞：通常无需重启，除非漏洞公告中标注「需要重启」。

  • 特定 CVE 示例：如 CVE-2024-57979，若控制台未标识需重启，则无需重启。

  • 业务影响：重启会导致服务中断，修复过程可能占用资源导致卡顿。建议提前备份（快照），并在测试环境验证。

• 修复高危漏洞（如 Linux Kernel ptrace）不修复的风险是什么？

  • 风险描述：高危本地权限提升漏洞（如 CVSS 7.8）若不修复，攻击者可利用其窃取敏感文件（/etc/shadow、SSH 私钥）并获取最高权限，导致服务器被完全控制。

  • 缓解措施：若暂时无法修复，建议通过安全组限制访问、加强监控等措施缓解，但根本解决仍需修复。

  • SSL/TLS 漏洞定位：对于 SSL/TLS 协议信息泄露漏洞（如 CVE-2016-2183），可通过 ping 域名解析 IP，结合 CLB/K8s 资源定位具体受影响节点，并手动修复。

修复操作类问题

• 漏洞修复完成后是否还需要重启系统？

  自动修复通常不会导致服务器关机，但部分内核漏洞修复后可能需要重启。手动修复时需根据漏洞类型判断：Linux 软件漏洞一般无需重启，Windows 系统漏洞和 Linux 内核漏洞需要重启才能生效。建议在业务低峰期操作并创建快照。

• 云安全中心自动修复 Windows 补丁与手动下载安装补丁的效果是否一致？

  一致。云安全中心的修复功能本质上是调用系统底层接口安装微软官方补丁，与手动下载并安装的效果相同。

• 云安全中心是否支持生成和导出漏洞扫描报告？

  • 应用漏洞报告：按量付费版本需升级至「主机全面防护」或更高等级才支持应用漏洞扫描。登录控制台，进入风险治理 > 漏洞管理 > 应用漏洞页签，单击列表上方的可导出服务器内部应用漏洞列表。注意：不支持针对网站 URL 生成独立报告。

  • 指定 ECS 实例漏洞信息：进入资产中心 > 主机资产，搜索目标服务器进入详情页，点击漏洞信息下的漏洞管理应用漏洞列表上方的查看并导出。

  • 安全报告：进入系统设置 > 安全报告定制专属安全报告。

• 如何判断 Linux 内核版本是否受特定 CVE 漏洞影响？

  1. 执行 uname -r 命令查看当前内核版本，对比 CVE 公告中的受影响版本范围。

  2. 示例：若 CVE 影响范围为内核 4.14 至 6.18.21 及 6.19.11 之间，而当前版本为 3.10.0，则不受影响，无需修复。

  3. 可访问阿里云官方漏洞风险及修复方案公告页面查询具体影响。

• 批量修复漏洞时的执行顺序、并发建议及界面显示异常如何处理？

  • 执行顺序：Linux 软件漏洞按控制台列表顺序执行；Windows 系统漏洞优先修复需安装前置补丁的漏洞，其余按列表顺序。

  • 并发建议：建议等待上一批漏洞修复完成后，再执行下一批，以避免资源冲突或管理混乱。

  • 界面无反应：若批量修复时界面显示「下达指令」后无反应，可能是前端显示延迟，手动刷新页面即可查看「修复中」状态。

  • 耗时说明：Linux 自动修复通常需几分钟到几十分钟，取决于漏洞数量、服务器性能及网络。若耗时过长，检查磁盘空间（建议≥3 GB）、包管理进程冲突或权限问题。

• 无公网 IP 的服务器是否支持云安全中心漏洞修复？

  支持。只要服务器安装了云安全中心 Agent 且网络连通正常，即可进行漏洞修复。使用阿里云内网源进行修复时，无需绑定公网 IP。前提条件：需确保云安全中心服务已开通且 Agent 在线。

• 开启漏洞自动修复功能有哪些注意事项和建议？

  • 非默认开启：自动修复需手动配置策略后生效，并非默认开启。

  • 支持范围限制：仅支持非内核的 Linux 系统漏洞，且依赖一键修复功能（需版本支持）。

  • 操作建议：建议先在测试环境验证；开启前确保配置了快照备份策略；配置在业务低峰期执行；避免对全部资产开启，以免消耗过多修复次数或造成资源争抢。

特定类型漏洞修复问题

• 内核漏洞升级修复后，云安全中心仍然提示存在漏洞如何处理？

  1. 确认当前内核已升级成功

     1. 查看当前正在运行的内核版本，确保当前使用的内核版本已符合漏洞说明命中条件中的要求。

        uname -av
        cat /proc/version

     2. 确认系统启动使用的是新内核

        <BASH>
        
        cat /etc/grub.conf

  2. 检查并清理旧版本内核 rpm 包

     1. 查看系统已安装的所有内核包，找出旧版本内核包（版本号低于当前正在使用的内核）。

        rpm -qa | grep kernel

     2. 给系统做保护快照（强烈建议）

        在云服务器控制台为当前实例创建快照/镜像，防止误删导致系统异常或无法启动。

     3. 卸载旧版本内核 rpm 包

        2. <BASH>
           
           rpm -e kernel-<旧版本号>

        3. 或使用发行版推荐方式：CentOS/RedHat：

           <BASH>
           
           yum remove kernel-<旧版本号>

  3. 忽略告警

     在确认系统实际使用的新内核已修复漏洞的前提下，仅忽略告警。

     1. 登录云安全中心控制台。

     2. 在左侧导航栏，选择风险治理 > 漏洞管理。在控制台左上角，选择需防护资产所在的区域：中国内地或非中国内地。

     3. 在Linux软件漏洞页签定位到该漏洞，单击漏洞名称进入漏洞详情页面。

     4. 在操作列下单击图标下的忽略。

• 如何手动升级Ubuntu内核？

  重要

  系统内核升级有一定风险，强烈建议您参考服务器软件漏洞修复建议中的方法进行升级。

  下文以将Ubuntu 14.04系统的3.1*内核升级至4.4内核为例，介绍手动升级Ubuntu内核的方法。

  1. 执行uname -av命令，确认当前服务器的系统内核版本是否为3.1*。

     root@iZbp14z5cmxxxf76owZ:~# uname  -av
     Linux iZbp14z5cmxxxf76owZ 3.13.0-65-generic #106-Ubuntu SMP Fri Oct 2 22:08:27 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

  2. 执行以下命令，查看是否已有最新的内核Kernel更新包。

     apt list | grep linux-image-4.4.0-94-generic
     apt list | grep linux-image-extra-4.4.0-94-generic

  3. 如果没有相关更新，您可执行apt-get update命令获取到最新的更新包。

  4. 执行以下命令，进行内核升级。

     apt-get update && apt-get install linux-image-4.4.0-94-generic
     apt-get update && apt-get install linux-image-extra-4.4.0-94-generic

  5. 更新包安装完成后，重启服务器完成内核加载。

  6. 服务器重启后，执行以下命令验证内核升级是否成功。

     • 执行uname -av命令查看当前调用内核。

       root@iZbp14z5cmxxxxf76owZ:~# uname -av
       Linux iZbp14z5cmxxxxf76owZ 4.4.0-94-generic #117~14.04.1-Ubuntu SMP Wed Aug 30 06:50:25 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

     • 执行dpkg -l | grep linux-image命令查看当前内核包情况。

       同时执行 uname -av 确认当前内核版本为 4.4.0-94-generic。输出中 linux-image-4.4.0-94-generic 和 linux-image-extra-4.4.0-94-generic 为当前正在使用的内核包。

       root@iZbp14z5cm****f76owZ:~# uname -av
       Linux iZbp14z5cm****f76owZ 4.4.0-94-generic #117~14.04.1-Ubuntu SMP Wed Aug 30 06:50:25 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux
       root@iZbp14z5cm****f76owZ:~# dpkg -l | grep linux-image
       ii  linux-image-3.13.0-32-generic        3.13.0-32.57             amd64        Linux kernel image for version 3.13.0 on 64 bit x86 SMP
       ii  linux-image-3.13.0-65-generic        3.13.0-65.106            amd64        Linux kernel image for version 3.13.0 on 64 bit x86 SMP
       ii  linux-image-4.4.0-94-generic         4.4.0-94.117~14.04.1     amd64        Linux kernel image for version 4.4.0 on 64 bit x86 SMP
       ii  linux-image-extra-3.13.0-32-generic  3.13.0-32.57             amd64        Linux kernel extra modules for version 3.13.0 on 64 bit x86 SMP
       ii  linux-image-extra-3.13.0-65-generic  3.13.0-65.106            amd64        Linux kernel extra modules for version 3.13.0 on 64 bit x86 SMP
       ii  linux-image-extra-4.4.0-94-generic   4.4.0-94.117~14.04.1     amd64        Linux kernel extra modules for version 4.4.0 on 64 bit x86 SMP
       ii  linux-image-generic                  3.13.0.65.71             amd64        Generic Linux kernel image

• 修复内核漏洞时提示目标内核不适配怎么办？

  • 问题现象：在云安全中心控制台一键修复内核漏洞后，提示修复失败，修复失败提醒中显示目标内核不适配。

  • 问题原因：系统检测到当前服务器的内核版本与漏洞修复目标版本不兼容。这可能是因为之前手动修改过内核配置、使用了非标准内核版本，或内核版本跨度过大导致无法正常升级。

  • 解决方案：

    • 方案一：使用强制修复

      如果确认业务不会受到影响，可以使用强制修复跳过兼容性检查：

      1. 关闭修复失败提醒对话框。

      2. 在待处理漏洞区域，单击目标服务器操作列的修复按钮。

      3. 在修复对话框中，会出现强制修复选项。勾选且选择修复方式后，单击立即修复即可重试。

         重要

         修复漏洞可能涉及升级系统内核或软件版本，存在业务兼容性风险，建议选择自动创建快照并修复选项，以便在出现问题时快速回滚。

    • 方案二：手动升级内核

      如果不适合使用强制修复，可参考升级Linux ECS实例内核进行手动升级。

• 什么情况下可以使用强制修复？有什么风险？

  • 使用场景：强制修复主要用于以下场景：

    • 一键修复因目标内核不适配而失败时。

    • 确认当前系统环境满足漏洞修复要求，但兼容性检查未通过时。

  • 操作方式：在修复对话框中勾选强制修复选项即可。

  • 风险提示：强制修复会跳过客户端兼容性检查，可能存在以下风险：

    • 修复后系统可能出现兼容性问题，导致业务异常。

    • 内核升级失败可能导致系统无法正常启动。

  • 建议：使用强制修复前，建议先选择自动创建快照并修复选项创建备份，以便在出现问题时快速回滚。强制修复仅建议在确认业务不会受到影响的情况下使用。

• 云安全中心控制台中某些漏洞提示无更新如何处理？

  漏洞提示无更新说明检测出漏洞的软件目前无官方更新源，无法在云安全中心控制台完成修复，可以参考下述说明，选择合适的处理方案：

  • 官方更新源暂未提供补丁

    • 问题表现：执行更新命令时，系统返回 already installed and latest version 或 No Packages marked for Update 等信息。

    • 已知软件包：Gnutls、Libnl、MariaDB

    • 处理建议：等待软件官方源发布更新。

  • 操作系统版本已停止支持 (EOL)

    • 问题表现：即使软件包已是当前系统支持的最新版，仍不满足漏洞修复所需的版本。例如，CentOS 6.x 等已停止官方维护的系统版本。

    • 处理建议：

      • 方案一：将操作系统升级至仍在官方支持周期内的新版本。

      • 方案二：评估并确认风险可控后，在云安全中心控制台将该漏洞标记为“忽略”。

修复后状态与验证类问题

• 漏洞修复失败后如何查看失败提醒？

  • 查看方式：在云安全中心控制台的漏洞管理页面，单击修复中漏洞下的数字，在修复中漏洞面板中找到修复失败的漏洞，单击其状态列的图标，即可在原因详情对话框中查看修复失败提醒。

  • 提醒内容：修复失败提醒中会显示修复失败的具体原因、对应的错误码（如有）以及处理建议。

• 修复失败提醒中的错误码如何处理？

  请根据修复失败提醒中显示的错误码，参见漏洞修复失败原因排查文档中对应的解决方案进行处理。

• 手动修复漏洞是否会导致云安全中心产生误报攻击告警？

  不会。手动更新漏洞补丁不会导致云安全中心产生误报攻击告警，两者无关。若手动修复后控制台仍提示未修复，需点击验证按钮或等待后续数据状态自动更新。