操作场景
不同类型漏洞修复方式不同,请根据漏洞类型选择对应修复方法。漏洞修复方法建议如下:
漏洞类型 修复方式建议 Linux软件漏洞 可以使用以下方式进行处理:
使用态势感知(专业版)控制台上的“修复”功能进行修复。
根据界面提供的修复建议进行手动修复。
修复完成后,可通过“验证”功能,快速验证漏洞是否修复成功。
Windows系统漏洞 Web-CMS漏洞 根据界面提供的修复建议进行手动修复。 应用漏洞
注意
执行主机漏洞修复可能存在漏洞修复失败导致业务中断,或者中间件及上层应用出现不兼容等风险,并且无法进行回滚。为了防止出现不可预料的严重后果,建议您通过云服务器备份(CSBS)为ECS创建备份。然后,使用空闲主机搭建环境充分测试,确认不影响业务正常运行后,再对主机执行漏洞修复。
在线修复主机漏洞时,需要连接Internet,通过外部镜像源提供漏洞修复服务。但是,如果主机无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用镜像源进行漏洞修复。
为了保证漏洞修复成功,请在执行在线升级漏洞前,确认主机中已配置的对应操作系统的镜像源。
通过控制台修复漏洞
仅Linux软件漏洞和Windows系统漏洞支持使用控制台的漏洞修复功能。
-
登录管理控制台。
-
单击页面左上方的,选择“安全 > 态势感知(专业版)”,进入态势感知(专业版)管理页面。
-
在左侧导航栏选择“工作空间 > 空间管理”,并在工作空间列表中,单击目标工作空间名称,进入目标工作空间管理页面。
-
在态势感知(专业版)管理页面选择“风险预防 > 漏洞管理”,进入漏洞管理页面。
-
在漏洞管理界面,选择“Linux漏洞”、“Windows漏洞”任意一个页签,进入对应漏洞管理页面。
-
在漏洞列表中,单击目标漏洞名称,右侧弹出漏洞信息页面。
-
在漏洞信息页面中,选择“受影响资产”页签,并在资产列表中,单击待处理资产所在行“操作”列的“修复”,系统提示修复操作触发成功。
如需批量修复,可以勾选所有需要修复的资产,然后在列表左上角,单击“批量修复”。
-
漏洞修复完成后,若修复成功,修复状态将变更为“修复成功”。若修复失败,修复状态将变更为“修复失败”。
说明“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则系统仍可能为您推送漏洞消息。
手动修复系统软件漏洞
-
漏洞修复命令
进入到漏洞的基本信息页,可根据修复建议修复已经被识别出的漏洞,漏洞修复命令可参见下表。
说明“Windows系统漏洞”和“Linux系统Kernel类的漏洞”修复完成后需要手动重启,否则系统仍可能为您推送漏洞消息。
不同的漏洞请根据修复建议依次进行修复。
若同一主机上的多个软件包存在同一漏洞,您只需修复一次即可。
漏洞修复命令:
操作系统 修复命令 CentOS/Fedora /Euler/Redhat/Oracle yum update 软件名称 Debian/Ubuntu apt-get update && apt-get install 软件名称--only-upgrade Gentoo 请参见漏洞修复建议。 -
漏洞修复方案
漏洞修复有可能影响业务的稳定性,为了防止在修复漏洞过程影响当前业务,建议参考以下两种方案,选择其中一种执行漏洞修复:
-
方案一:创建新的虚拟机执行漏洞修复
- 为需要修复漏洞的ECS主机创建镜像。
- 使用该镜像创建新的ECS主机。
- 在新启动的主机上执行漏洞修复并验证修复结果。
- 确认修复完成之后将业务切换到新主机。
- 确定切换完成并且业务运行稳定无故障后,可以释放旧的主机。如果业务切换后出现问题且无法修复,可以将业务立即切换回原来的主机以恢复功能。
-
方案二:在当前主机执行修复
- 为需要修复漏洞的ECS主机创建备份。
- 在当前主机上直接进行漏洞修复。
- 如果漏洞修复后出现业务功能问题且无法及时修复,立即使用备份恢复功能将主机恢复到修复前的状态。
说明方案一适用于第一次对主机漏洞执行修复,且不确定漏洞修复的影响。
方案二适用于已经有同类主机执行过修复,漏洞修复方案已经比较成熟可靠的场景。
-
修复验证
漏洞修复后,建议您立即进行验证。
验证方式 操作方法 手动验证 通过漏洞详情页面的“验证”,进行一键验证。
执行以下命令查看软件升级结果,确保软件已升级为最新版本。
CentOS/Fedora /Euler/Redhat/Oracle操作系统:rpm -qa | grep 软件名称
Debian/Ubuntu操作系统:dpkg -l | grep 软件名称
Gentoo操作系统:emerge --search 软件名称
自动验证 若您未进行手动验证,HSS每日凌晨进行全量检测,您修复后需要等到次日凌晨检测后才能查看修复效果。