常见主机漏洞及修复方案

1、openssh累积型漏洞  高  cve-2017-10012

修复意见：

升级版本至>=openssh-5.3p1-122.el6

2、NTP累积型漏洞  高

修复意见：

稳定版请尽快安装ntp-4.2.8p4及以后版本 

开发版请尽快安装ntp-4.3.77及以后版本                                                          

3、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】  中

修复意见：

建议升级openssl来进行修复，openssl-0.98m之后的版本就已经修复了该漏洞，使用了Secure Renegotiation。                                                                                

4、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)   中

修复意见：

对于NGINX的修补

修改nginx配置文件中的 ssl_ciphers项

ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_prefer_server_ciphers on;

重新加载：

$sudo /etc/init.d/nginx reload

对于apache的修复

打开配置文件

$ sudo vi /etc/httpd/conf.d/ssl.conf

修改配置

SSLCipherSuite

HIGH:MEDIUM:!aNULL:!MD5;!RC4

$ sudo /etc/init.d/httpd restart

对于TOMCAT的修复

server.xml 中SSL connector加入以下内容:

SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

5、SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)  中

修复意见：

Apache 

在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3： SSLProtocol All -SSLv2 -SSLv3 重启Apache

Nginx

在配置文件中使用： ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 重启Nginx

6、oracle weblogic漏洞   高

影响版本

Oracle WebLogic Server10.3.6.0

Oracle WebLogic Server12.2.1.2

Oracle WebLogic Server12.2.1.3

Oracle WebLogic Server12.1.3.0

请升级至大于以上版本。

7、Nginx range filter 整型溢出漏洞 (CVE-2017-7529)

受影响版本: 

Nginx 0.5.6 - 1.12.0 

Nginx 1.13.0 - 1.13.2 

8、OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)

修复版本：

openssl-1.0.2分支的1.0.2i及后续版本 

openssl-1.1.0分支的1.1.0a及后续版本 

9、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)

修复版本：openssl-0.98m之后的版本 

10、PHP累积型漏洞

升级到安全版本：

 PHP >=7.0.21

 PHP >=5.6.31 

 PHP >=7.1.7

11、Apache Tomcat安全绕过漏洞（CVE-2018-1305）

修复方案：请升级到安全版本

Apache Tomcat 9.0.5

Apache Tomcat 8.5.28

Apache Tomcat 8.0.50

Apache Tomcat 7.0.85

Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014)、 Apache Tomcat安全限制绕过漏洞（CVE-2018-8034）

受影响版本：

Apache Tomcat 7.0.25－7.0.88、

Apache Tomcat8.5.0－8.5.31、

Apache Tomcat9.0.0.M1－9.0.9

升级版本：

Apache Tomcat 9.0.12

Apache Tomcat 8.5.34

Apache Tomcat 8.0.53

Apache Tomcat 7.0.90

12、SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)

修复方案：升级OpenSSL到>=OpenSSL 1.0.1e-60.el7

13、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

修复方案：

1、升级到最新的JDK版本（8.0以上），就可以立刻解决该问题。 

2、如果没有办法升级JDK，可以采用调整服务器加密套件的配置来解决。 Tomcat 基于Java 1.6，请在Server.xml中增加以下ciphers配置：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA"></connector>

基于Java 7，请在Server.xml中增加以下ciphers配置：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA"></connector>

Weblogic  

找到config.xml文件，修改编辑其中<ciphersuite></ciphersuite>参数，增加：

<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>

<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>

14、s2-045漏洞  高

修复方案：

升级struts2框架至2.3.32版本，

 1.替换struts2的三个核心包至2.3.32版本：struts2-json-plugin-2.3.32.jar，struts2-core-2.3.32.jar，struts2-spring-plugin-2.3.32.jar 

2.如果项目中有用到xwork-core包，则替换至2.3.32版本：xwork-core-2.3.32.jar 

3.同时对ognl要求最低版本为：ognl-3.0.19.jar，对freemarker要求最版本为：freemarker-2.3.22.jar  

4.设置struts2的主配置文件，设置属性：<constant name="struts.enable.DynamicMethodInvocation" value="true" />

 备注：https://blog.csdn.net/fubin5115/article/details/79503409

15、Oracle MySQL 累积型漏洞    CVE-2018-2562   高

升级MySQL至 

>=MySQL 5.6.39 版本

>=MySQL 5.7.21 版本

16、Oracle Database Server 累积型漏洞    CVE-2018-2841  高

升级Oracle Database Server > 11.2.0.4版本

17、Oracle Enterprise 累积型漏洞  端口：1521   中

升级版本至

Oracle Enterprise Manager Grid Control >11.1.0.1

Oracle Enterprise Manager Grid Control >12.1.0.5

18、Sendmail 累积型漏洞   端口：25   高

升级至>=8.14.3版本

19、检测到远端rexec服务正在运行中  端口：512  高

建议立即禁用rexecd服务：

*在windows下禁用rexecd服务 打开服务控制面板，在服务列表中找到rexec项，选择停止服务

*在unix系统下禁用rexecd服务 在“/etc/inetd.conf”里注释掉“exec”行并重起inetd服务。

20、Samba SWAT Server正在运行  端口：901  高

升级至Samba 4.8.3版本

21、Vmware ESXi累积型漏洞 CVE-2017-4904 高

受影响版本：

VMware ESXi 6.5版本，6.0 U3版本，6.0 U2版本，6.0 U1版本，5.5版本；

Workstation Pro / Player 12.5.5之前的12.x版本；

Fusion Pro / Fusion 8.5.6之前的8.x版本。

22、VMware 多个产品安全漏洞 (CVE-2018-3639)(VMSA-2018-0012.1)

受影响系统：

Intel Corporation Xeon CPU 

Intel Corporation Atom Processor 

Intel Pentium Processor 

Intel Celeron Processor

Vmware Product	product Version	severity	replace with/apply Patch	Mitigation/Workaround
ESXi	6.7	Moderate	ESXi670-201806401-BG* ESXi670-201806402-BG**	none
ESXi	6.5	Moderate	ESXi650-201806401-BG* ESXi650-201806402-BG**	none
ESXi	6	Moderate	ESXi600-201806401-BG* ESXi600-201806402-BG**	none
ESXi	5.5	Moderate	ESXi550-201806401-BG* ESXi550-201806402-BG**	none

23、VMware ESXi累积型漏洞

修复方案：

请下载补丁，补丁链接：https://www.vmware.com/security/advisories/VMSA-2018-0012.html

24、服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】

修复方案：

Apache解决办法： 升级到Apache 2.2.15以后版本 

IIS解决办法： IIS 5.0启用SSL服务时，也会受影响。可以升级IIS 6.0到更高的版本。 

Lighttpd解决办法： 建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = "enable"。 

Nginx解决办法： 升级至nginx-1.15.2 版本 

Tomcat解决办法：

1、使用NIO connector代替BIO connector，因为NIO不支持重协商，参考如下配置： <Connector protocol="org.apache.coyote.http11.Http11NioProtocol"> （可能会影响Tomcat性能）； 

2、配置Nginx反向代理，在Nginx中修复OpenSSL相关问题。 参考链接: https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlhttps://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.htmlhttp://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcathttps://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison

Squid解决办法: 升级到3.5.24以及以后版本

25、OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)【原理扫描】

受影响系统：

OpenSSL Project OpenSSL 1.0.2-beta1

OpenSSL Project OpenSSL 1.0.2-beta

OpenSSL Project OpenSSL 1.0.1f

OpenSSL Project OpenSSL 1.0.1e

OpenSSL Project OpenSSL 1.0.1d

OpenSSL Project OpenSSL 1.0.1c

OpenSSL Project OpenSSL 1.0.1b

OpenSSL Project OpenSSL 1.0.1a

OpenSSL Project OpenSSL 1.0.1

不受影响系统：

OpenSSL Project OpenSSL 1.0.2-beta2

OpenSSL Project OpenSSL 1.0.1g

OpenSSL Project OpenSSL 1.0.0

OpenSSL Project OpenSSL 0.9.8

临时解决方法：

NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级，您可以采取以下措施以降低威胁：

* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。

厂商补丁：

OpenSSL Project

—————

Openssl已经发布了Openssl 1.0.1g修复此问题，:

厂商安全公告：

https://www.openssl.org/news/secadv_20140407.txt

http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3

对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。

主流Linux发行版也已经发布相关补丁，请尽快升级。

26、Redis 配置不当可直接导致服务器被控制【原理扫描】

修复方案：

防止这个漏洞需要修复以下三处问题

第一：修改redis绑定的IP如果只在本机使用redis服务那么只要绑定127.0.0.1如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口最好不要绑定0.0.0.0另外需要通过主机内置的防火墙如iptables，或者其他外置防火墙禁止非业务主机访问redis服务

第二：设置访问密码在 redis.conf 中找到“requirepass”字段，取消注释并在后面填上你需要的密码。注：修改redis的配置需要重启redis才能生效。

第三：使用普通用户启动redis，并且禁止该用户启动shell，禁止使用root用户启动redis。

27、Redis 未授权访问漏洞【原理扫描】

修复方案：

方法一：可以修改绑定的IP、端口和指定访问者IP具体根据实际情况来设定，也可以直接在服务器防火墙上做设置。

方法二：设置访问密码在 redis.conf 中找到“requirepass”字段，取消注释并在后面填上你需要的密码。注：修改redis的配置需要重启redis才能生效。

28、ZooKeeper 未授权访问【原理扫描】

修复方案：

为ZooKeeper配置相应的访问权限。

方式一：

1）增加一个认证用户addauth digest 用户名:密码明文eg. addauth digest user1:password1

2）设置权限setAcl /path auth:用户名:密码明文:权限eg. setAcl /test auth:user1:password1:cdrwa

3）查看Acl设置getAcl /path

方式二：

setAcl /path digest:用户名:密码密文:权限

29、远端WWW服务支持TRACE请求

修复方案：

管理员应禁用WWW服务对TRACE请求的支持。IISURLScanApacheSource Code ModificationMod_Rewrite ModuleRewriteEngine onRewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* - [F]