[草稿]linux安全扫描及漏洞处理
[TOC]
严重漏洞
Sanitize 输入验证错误漏洞(CVE-2021-42575)
- 漏洞描述:Sanitize是美国Ryan Grove个人开发者的一款HTML和CSS清理器,它支持从字符串中删除HTML和CSS等。 Sanitizer 存在输入验证错误漏洞,该漏洞源于20211018.1 之前的 OWASP Java HTML Sanitizer 没有正确执行与 SELECT、STYLE 和 OPTION 元素相关的策略
- CVE编号:CVE-2021-42575
- 披露时间:2021-10-18
- 风险等级:严重
- 影响范围:java_html_sanitizer < 20211018.1
- 阿里官方:https://avd.aliyun.com/detail?id=AVD-2021-42575
- 修复方案:升级 java_html_sanitizer 到 20211018.2 及更高版本
比如影响:elasticsearch-7.10.1
找到它:.\elasticsearch-7.10.1\modules\x-pack-watcher\owasp-java-html-sanitizer-20191001.1.jar
更新为:.\elasticsearch-7.10.1\modules\x-pack-watcher\owasp-java-html-sanitizer-20211018.2.jar
高危漏洞
polkit pkexec 本地提权漏洞(CVE-2021-4034)
- 漏洞描述:2022年1月25日,qualys安全研究人员披露 CVE-2021-4034 polkit pkexec 本地提权漏洞细节,polkit pkexec 中对命令行参数处理有误,导致参数注入,能够导致本地提权
- CVE编号:CVE-2021-4034
- 披露时间:2022-01-26
- 风险等级:高危
- 阿里官方:https://avd.aliyun.com/detail?id=AVD-2021-4034
- 修复方案:升级polkit 或 删除pkexec的SUID-bit权限
#.centos7.通过polkit升级修复(centos 5/6/8已终止维护,不适用)
yum update polkit
#.无法升级软件修复包的,可删除pkexec的SUID-bit权限来规避漏洞风险
#.执行前权限为 -rwsr-xr-x 删除为 -rwxr-xr-x
chmod 0755 /usr/bin/pkexec
ll /usr/bin/pkexec
Nacos 集群Raft反序列化漏洞(pcmgr-422296)
- 漏洞描述:由于在Nacos的7848端口(默认配置)为Nacos集群间Raft协议的通信端口,在处理Raft请求时,攻击者可以无限制使用hessian进行反序列化利用,最终实现代码执行
- CVE编号:pcmgr-422296
- 风险等级:高危
- 影响范围:1.4.0 <= Nacos < 1.4.6 或 2.0.0 <= Nacos < 2.2.3
- 修复方案:升级到Nacos 1.4.6、Nacos 2.2.3及更高版本
- 缓解措施:禁止 Raft 协议(默认7848端口)接收来自Nacos集群外的请求
VMware Spring Security 权限许可和访问控制问题漏洞(CVE-2021-22112)
- 漏洞描述:Vmware VMware Spring Security是美国威睿(Vmware)公司的一套为基于Spring的应用程序提供说明性安全保护的安全框架。 VMware Spring Security 中存在权限许可和访问控制问题漏洞。该漏洞源于攻击者可以通过Spring Security的多个SecurityContext更改绕过限制,以提升其权限。
- CVE编号:CVE-2021-22112
- 披露时间:2021-02-24
- 风险等级:高危
- 影响范围:Spring Security 5.4.0 至 5.4.3 版本, Spring Security 5.3.0.RELEASE 至 5.3.7.RELEASE 版本, Spring Security 5.2.0.RELEASE 至 5.2.8.RELEASE 版本
- 阿里官方:https://avd.aliyun.com/detail?id=AVD-2021-22112
- 修复方案:升级 spring_security 从5.2.0到5.2.9及更高、从5.3.0到5.3.8及更高、从5.4.0到5.4.4及更高
低危漏洞
SSH服务器启用CBC模式密码
- 漏洞描述:ssh服务器配置为支持密码块链接(cbc)加密,这可能允许攻击者从密文中恢复明文消息
- 风险等级:低危
- 检测方法:执行
nmap --script ssh2-enum-algos -sV -p22 127.0.0.1确认是否存在CBC,diffie-hellman-group-exchange-sha1等弱加密算法 - 修复方案:禁用CBC模式密码加密,并启用CTR或GCM密码模式加密
sed -i '/^Ciphers/d' /etc/ssh/sshd_config
echo "Ciphers aes128-ctr,aes192-ctr,aes256-ctr" >> /etc/ssh/sshd_config
systemctl restart sshd.service
启用SSH弱密钥交换算法
- 漏洞描述:远程 SSH 服务器被配置为允许被认为是弱的密钥交换算法
- 风险等级:低危
- 检测方法:执行
nmap --script ssh2-enum-algos -sV -p22 127.0.0.1确认是否返回如下弱加密算法,如有返回则表示已启用
diffie-hellman-group1-sha1
diffie-hellman-group-exchange-sha1
- 修复方案:修改
/etc/ssh/sshd_config删掉弱密码算法,最后重启ssh服务
cp /etc/ssh/sshd_config /opt/sshd_config.bak.`date +%Y%m%d%H%M`
sed -i '/^Ciphers/d' /etc/ssh/sshd_config
sed -i '/^KexAlgorithms/d' /etc/ssh/sshd_config
echo "Ciphers aes128-ctr,aes192-ctr,aes256-ctr" >> /etc/ssh/sshd_config
echo "KexAlgorithms diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha256,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521" >> /etc/ssh/sshd_config
service sshd restart
附录
- 阿里云-高危漏洞库:https://avd.aliyun.com/high-risk/list