首页 > 其他 > 详细

云服务器漏洞更新

时间:2018-01-30 14:24:35      阅读:276      评论:0      收藏:0      [点我收藏+]

 

 这几天,在阿里云服务器后台看到一些漏洞,这里分享以下解决的方法:

1:标题: GnuTLS安全绕过漏洞(CNVD-2017-00484)

简介:
GnuTLS 3.3.26和3.5.8之前的版本中的gnutls_x509_ext_import_proxy函数中存在双重释放漏洞,允许远程攻击者通过在拥有代理证书信息扩展的X.509证书中构造策略的语言信息造成未公开的影响。
解决方案:
请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。
参考链接: lists.opensuse.orgwww.openwall.comwww.openwall.comwww.securityfocus.comwww.securitytracker.comgitlab.comgnutls.orgsecurity.gentoo.org

解决方法:yum update guntls

 

2:标题: GNU Wget缓冲区错误漏洞

简介:
wget是一款用于从web服务器拉取资源的软件,最近安全研究人员发现wget1.19.2(官方)之前的版本在处理分段编码的HTTP响时出现了堆和栈溢出的缺陷,攻击者可以通过诱骗不知情的用户连接到恶意的HTTP服务器来实施该攻击,在受害者的机器上执行任意代码。
详情:
http.c中的skip_short_body()函数,在某些情况(例如处理重定向时),当HTTP响应被分段时,分段解析器会使用strtol()来读取每个分段的长度,但是不检测分段长度是否为一个非负数。问题代码接着会执行MIN()宏, 尝试以512字节为一个单位读取分段,但结果却将为负的分段长度传递给了connect.c里的 fd_read()函数,当fd_read()接受整数为参数时,高32位的分段长度被丢弃,导致fd_read()处理了完全由攻击者控制的输入。
解决方案:
请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。
参考链接: securitytracker.com

解决方法:yum update wget  或者 升级wget版本

3:标题: Google Android libnl整数溢出漏洞导致执行任意代码

简介:
腾讯玄武实验室的Daxing Guo在2017年4月3日报告了一个存在于libnl库中的整数溢出漏洞,攻击者可利用该漏洞执行任意代码。
这个存在于libnl库文件中的漏洞可允许本地恶意应用在wifi服务进程上下文中执行任意代码,从而导致本地提权。而因为该过程的实现需要当前平台的配置给予便利且得到特权进程的妥协,故而被android开发安全论坛评为中危。

[受影响的平台]
[Android]
Product:
Android(Versions: 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1.)
Android ID: A-32342065.
Google Pixel XL 0
Google Pixel C 0
Google Pixel 0
Google Nexus Player 0
Google Nexus 9
Google Nexus 7 (2013)
Google Nexus 6P
Google Nexus 6
Google Nexus 5X
Google Android One 0
Google Android 7.1.1
Google Android 6.0.1
Google Android 5.1.1
Google Android 5.0.2
Google Android 7.0
Google Android 6.0
以及各大依照Google开发标准的Android厂商发布的各类机型
[Redhat]
Red Hat Enterprise Linux 7	libnl3
Red Hat Enterprise Linux 7	libnl	(放弃修复)
Red Hat Enterprise Linux 6	libnl3	(放弃修复)
Red Hat Enterprise Linux 6	libnl	(放弃修复)
Red Hat Enterprise Linux 5	libnl	(放弃修复)
[Unbuntu]
Ubuntu Linux 17.04
Ubuntu Linux 16.10
Ubuntu Linux 16.04 LTS
Ubuntu Core 15.04
Ubuntu 14.04 LTS (Trusty Tahr)
Ubuntu Linux 14.04 LTS
[Debian]
Debian/wheezy	1.1-7
Debian/wheezy	3.2.7-4	(libnl3)
Debian/jessie	3.2.24-2 (libnl3)
[SUSE]
SUSE Linux Enterprise Server for SAP 12
SUSE Linux Enterprise Server 12-LTSS
[不受影响的平台]
[Debian]
Debian/wheezy (security)	1.1-7+deb7u1
Debian/wheezy (security)	3.2.7-4+deb7u1
Debian/buster, sid, stretch	3.2.27-2


解决方案:
请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。

解决方法:

yum update libnl3

yum update libnl3-cli

yum update NetworkManager

yum update NetworkManager-adsl

yum update NetworkManager-bluetooth

yum update NetworkManager-glib

yum update NetworkManager-libnm

yum update NetworkManager-team

yum update NetworkManager-tui

yum update NetworkManager-wifi

yum update NetworkManager-wwan

4:标题: Git任意代码执行漏洞(CNVD-2017-03446)

简介:
contrib/completion/git-prompt.sh in Git before 1.9.3 does not sanitize branch names in the PS1 variable, allowing a malicious repository to cause code execution.
解决方案:
请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。
参考链接: github.comgithub.com
解决方法:卸载之前的git,安装新版本git
 
5:标题: GNU glibc栈缓冲区溢出漏洞(CNVD-2016-01394)
 
简介:
glibc 2.23之前的版本存在多处栈缓冲区溢出漏洞,在特殊上下文环境下攻击者可以通过给nan/nanf/nanl函数提供超长的参数导致拒绝服务(应用程序崩溃)甚至执行任意代码。
解决方案:
请直接在漏洞处理页面,选择对应服务器和漏洞,生成修复命令后,登录到服务器上运行即可。

 

以下是一些从网上搜集别人之前更新漏洞的办法:

yum update kernel

 

yum update kernel-devel

 

yum update kernel-firmware

 

yum update kernel-headers

 

 

yum update openssh

 

yum update openssh-clients

 

yum update openssh-server

 

yum update ntp

 

yum update ntpdate

 

 

yum update libxml2

 

yum update libxml2-devel

 

yum update libxml2-python

 

yum update ntp

 

yum update ntpdate

 

yum update openssh

 

yum update openssh-clients

 

yum update openssh-server

 

yum update grep

 

yum update libreport

 

yum update libreport-cli

 

yum update libreport-compat

 

yum update libreport-plugin-kerneloops

 

yum update libreport-plugin-logger

 

yum update libreport-plugin-mailx

 

yum update libreport-plugin-reportuploader

 

yum update libreport-plugin-rhtsupport

 

yum update libreport-python

 


云服务器漏洞更新

原文:https://www.cnblogs.com/willamwang/p/8384199.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!