背景
作者公司有8台云服务器,本地有2台物理服务器,并且都联网了。云服务器的安全防护到期了,公司也不太想续费了,遂自己从代码上添加了一系列软件防护,但漏洞是一直再出,谁也无法保障是永远安全,所以本文会持续收录及时的漏洞,并提供命令修复办法。
环境参数
操作系统:Centos 7.6、Centos7.9运行环境:Java、Node、Python、Postgresql…
如果有相同情况,均可参考下面内容做修复
漏洞清单(时间倒序)
2023-11-3
Linux kernel 缓冲区错误漏洞(CVE-2023-35788)
软件: kernel-headers, 版本: 3.10.0-1160.83.1.el7
修复命令 sudo yum update kernel-headers
libssh2 缓冲区错误漏洞(CVE-2020-22218)
软件: libssh2, 版本: 1.8.0-4.el7
修复命令 sudo yum update libssh2
2023-10-27
ISC BIND 安全漏洞(CVE-2023-2828)
软件: bind-libs-lite, 版本: 32:9.11.4-26.P2.el7_9.13 软件: bind-utils, 版本: 32:9.11.4-26.P2.el7_9.13 软件: bind-export-libs, 版本: 32:9.11.4-26.P2.el7_9.13 软件: bind-license, 版本: 32:9.11.4-26.P2.el7_9.13 软件: bind-libs, 版本: 32:9.11.4-26.P2.el7_9.13
修复命令 sudo yum update bind-libs-lite sudo yum update bind-utils sudo yum update bind-export-libs sudo yum update bind-license sudo yum update bind-libs
Linux kernel 资源管理错误漏洞(CVE-2023-3609、CVE-2023-35001)
软件: kernel-tools, 版本: 3.10.0-1160.99.1.el7 软件: kernel-devel, 版本: 3.10.0-1160.99.1.el7|3.10.0-1160.71.1.el7|3.10.0-1160.83.1.el7 软件: kernel-tools-libs, 版本: 3.10.0-1160.99.1.el7 软件: bpftool, 版本: 3.10.0-1160.99.1.el7 软件: python-perf, 版本: 3.10.0-1160.99.1.el7 软件: kernel, 版本: 3.10.0-1160.99.1.el7|3.10.0-1160.83.1.el7|3.10.0-1160.71.1.el7
修复命令 sudo yum update kernel-tools sudo yum update kernel-devel sudo yum update kernel-tools-libs sudo yum update bpftool sudo yum update python-perf sudo yum update kernel
Python urllib.parse 安全特性绕过漏洞(CVE-2023-24329)
软件: python-libs, 版本: 2.7.5-92.el7_9 软件: python, 版本: 2.7.5-92.el7_9 软件: python3-libs, 版本: 3.6.8-18.el7 软件: python-devel, 版本: 2.7.5-92.el7_9 软件: python3, 版本: 3.6.8-18.el7
修复命令 sudo yum update python-libs sudo yum update python sudo yum update python3-libs sudo yum update python-devel sudo yum update python3
grub2 安全漏洞 (CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27779、CVE-2021-20233)
软件: grub2-pc, 版本: 1:2.02-0.87.0.2.el7.centos.11 软件: grub2, 版本: 1:2.02-0.87.0.2.el7.centos.11 软件: grub2-common, 版本: 1:2.02-0.87.0.2.el7.centos.11 软件: grub2-pc-modules, 版本: 1:2.02-0.87.0.2.el7.centos.11 软件: grub2-tools, 版本: 1:2.02-0.87.0.2.el7.centos.11 软件: grub2-tools-extra, 版本: 1:2.02-0.87.0.2.el7.centos.11 软件: grub2-tools-minimal, 版本: 1:2.02-0.87.0.2.el7.centos.11
修复命令 sudo yum update grub2-pc sudo yum update grub2 sudo yum update grub2-common sudo yum update grub2-pc-modules sudo yum update grub2-tools sudo yum update grub2-tools-extra sudo yum update grub2-tools-minimal
OpenSSH 代码问题漏洞(CVE-2023-38408)
软件: openssh-clients, 版本: 7.4p1-22.el7_9 软件: openssh-server, 版本: 7.4p1-22.el7_9 软件: openssh, 版本: 7.4p1-22.el7_9
修复命令 sudo yum update openssh-clients sudo yum update openssh-server sudo yum update openssh
历史
Linux kernel 拒绝服务漏洞(CVE-2022-4378) (CVE-2022-42703)
软件: python-perf, 版本: 3.10.0-1160.83.1.el7
修复命令 sudo yum update python-perf
FasterXML jackson-databind 代码问题漏洞(CVE-2022-42003)
jackson-databind-2.11.4.jar 建议受影响客户升级到2.14.0-rc2及以上安全版本,版本获取链接: https://github.com/FasterXML/jackson-databind
Ehcache 2.X中依赖的FasterXML jackson-databind版本存在漏洞,建议Ehcache 2.X用户及时迁移到Ehcache 3.X最新版,版本获取链接: https://www.ehcache.org/downloads/
FastJson代码执行漏洞(CVE-2022-25845)
fastjson-1.2.47.jar 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://github.com/alibaba/fastjson/wiki/security_update_20220523
Spring Security RegexRequestMatcher 认证绕过漏洞 (CVE-2022-22978)
spring-security-web-5.4.6.jar 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://github.com/spring-projects/spring-security/releases 5.4.x版本使用者建议升级至5.4.11及其以上 5.5.x 版本使用者建议升级至5.5.7及其以上 5.6.x 版本使用者建议升级至5.6.4及其以上
Jackson-databind 拒绝服务漏洞(CVE-2021-46877)
jackson-databind-2.11.4.jar 使用2.12及之前版本的用户,建议将组件 com.fasterxml.jackson.core:jackson-databind 升级至 2.12.6 及以上版本; 使用2.13.x的用户,建议将组件 com.fasterxml.jackson.core:jackson-databind 升级至 2.13.1 及以上版本。
https://github.com/FasterXML/jackson-databind/tags
Spring Framework 身份认证绕过漏洞(CVE-2023-20860)
spring-webmvc-5.3.24.jar spring-webmvc-5.3.6.jar spring-webmvc-5.3.24.jar 厂商已经发布安全修复版本修复该漏洞,参考链接:https://spring.io/security/cve-2023-20860 (1) Spring Framework 5.3.X 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞 (2) Spring Framework 6.0.X 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞
FasterXML jackson-databind 代码问题漏洞(CVE-2022-42004)
jackson-databind-2.11.4.jar 建议受影响客户升级到最新版本,最新版本版本获取链接: https://github.com/FasterXML/jackson-databind
Ehcache 2.X中依赖的FasterXML jackson-databind版本存在漏洞,建议Ehcache 2.X用户及时迁移到Ehcache 3.X最新版,版本获取链接:
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img-HX1bvwey-1712649055698)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取) [外链图片转存中…(img-Pz6ETPzh-1712649055699)]
好文推荐
您阅读本篇文章共花了:
发表评论