本文汇总了使用漏洞管理功能时的常见问题及解决方案。
如何获取当前软件版本及漏洞信息?
云安全中心通过匹配您服务器上的系统软件版本和存在漏洞(CVE漏洞)的软件版本,判断您的服务器是否存在软件漏洞。因此,您可以通过以下方式查看当前软件版本的漏洞信息:
通过以上命令获取您服务器上的软件版本信息后,您可以将得到的软件版本信息与云安全中心系统软件漏洞中检测到的相关漏洞的说明信息进行对比。漏洞说明参数中的软件和命中分别指当前软件版本和漏洞的匹配命中规则。
说明
如果升级后旧版本软件包还有残留信息,这些旧版本信息可能仍会被云安全中心检测收集,并作为漏洞上报。如果确认是由于这种情况触发的漏洞告警,建议您选择忽略该漏洞。您也可以执行yum remove或者apt-get remove命令删除旧版本的软件包。删除前,请务必确认所有业务和应用都不再使用该旧版本软件。
如何手动升级Ubuntu内核?
重要
系统内核升级有一定风险,强烈建议您参考中的方法进行升级。
下文以将Ubuntu 14.04系统的3.1*内核升级至4.4内核为例,介绍手动升级Ubuntu内核的方法。
执行uname -av命令,确认当前服务器的系统内核版本是否为3.1*。
执行以下命令,查看是否已有最新的内核Kernel更新包。
`apt list | grep linux-image-4.4.0-94-generic
apt list | grep linux-image-extra-4.4.0-94-generic`
如果没有相关更新,您可执行apt-get update命令获取到最新的更新包。
执行以下命令,进行内核升级。
`apt-get update && apt-get install linux-image-4.4.0-94-generic
apt-get update && apt-get install linux-image-extra-4.4.0-94-generic`
更新包安装完成后,重启服务器完成内核加载。
服务器重启后,执行以下命令验证内核升级是否成功。
如何验证Ubuntu内核补丁漏洞修复?
如果您修改过GRUB引导菜单的内核选择顺序,在Ubuntu内核的服务器中执行完漏洞一键修复安装新内核后,重启系统时不会启用最新内核。您需要手动配置环境变量,才能重启最新内核。
在云安全中心控制台对Ubuntu内核漏洞执行一键修复后,需要重启Linux系统,漏洞修复才能成功。重启系统时,如果您的内核引导GRUB菜单曾做过修改,系统将无法自动为最新的内核建立引导菜单,即使重启后,云安全中心控制台仍然会提示修复成功待重启。这种情况下,会导致无法验证漏洞是否修复成功。
如果您需要使用新内核默认附带的设置,并丢弃原本的GRUB菜单配置,可在执行漏洞修复命令前在Linux终端设置以下环境变量,使安装系统自动选择默认设置。
export DEBIAN_FRONTEND=noninteractive
如果您无需使用新内核的默认设置,可手动修改GRUB引导顺序,相关操作参见ECS Linux CentOS 修改内核引导顺序。
漏洞修复完成后我是否还需要重启系统?
内核漏洞升级修复后,云安全中心仍然提示存在漏洞如何处理?
由于内核升级比较特殊,可能会存在旧版本内核信息残留的问题。如果确认该漏洞告警是由于旧版本信息残留造成的,您可以选择忽略该漏洞告警,或者在服务器中手动删除旧版本的残留信息。可参考以下步骤进行处理:
确认内核升级完成后,执行uname -av命令和cat /proc/version命令查看当前内核版本,确保当前使用的内核版本已符合漏洞说明命中条件中的要求。
执行cat /etc/grub.conf命令查看配置文件,确认当前已经调用最新的内核版本。
由于Linux系统软件漏洞检测功能主要是通过针对版本进行匹配检测,如果系统中依然存在旧版本的内核rpm安装包,仍将会被云安全中心检测到并进行漏洞告警。您需要确认当前系统中已经没有旧版本rpm安装包残留。如果有,您可以在服务器中对旧版本安装包进行清理。
说明
卸载旧版本安装包前,请务必确认当前系统已经使用新内核。强烈建议您在卸载旧版本内核安装包前,为您的系统创建快照,以便卸载旧版本发生异常情况时对系统进行恢复。
如果由于某些原因不想卸载老版本内核,在您确认系统已经调用新内核后,可以参考如下步骤忽略该系统漏洞告警提醒。
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择风险治理 > 漏洞管理。
在Linux软件漏洞页签定位到该漏洞,单击漏洞名称进入漏洞详情页面。
在操作列下单击
图标下的忽略。
云安全中心控制台中某些漏洞提示无更新如何处理?
漏洞提示无更新说明检测出漏洞的软件目前无官方更新源,无法在云安全中心控制台完成修复,您可以参考下述说明,选择合适的处理方案:
您已经更新到了最新的软件包,但仍然无法满足云安全中心管理控制台中报告的软件版本条件。
请检查您的操作系统版本是否在官方的支持范围中。例如,截止到2017年09月01日,官方已经停止对CentOS 6.2~6.6、7.1等版本的支持。这种情况下,建议您在云安全中心管理控制台中忽略该漏洞(该漏洞对您服务器的风险可能依然存在),或者升级您的服务器操作系统。
漏洞如何修复?
云安全中心支持在控制台修复Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞,应用漏洞和应急漏洞只支持检测,不支持修复。
云安全中心不同版本支持的漏洞修复能力不同;在云安全中心控制台进行一键修复漏洞前,您需要获取修复漏洞的能力。具体操作,请参见。
您可以在云安全中心控制台风险治理 > 漏洞管理页面,定位到需要修复的Linux软件漏洞、Windows系统漏洞或Web-CMS漏洞,单击其操作列的修复,Linux软件漏洞和Windows系统漏洞您可以选择创建快照进行修复。修复完成后,需要重启的漏洞会显示待重启,请您根据提示重启服务器后再验证漏洞。
对于应用漏洞和应急漏洞您需要根据漏洞详情页面的修复建议,手动修复漏洞。修复完成后,在漏洞修复页面,验证该漏洞。
为什么修复漏洞时修复按钮为灰色?
服务器磁盘空间过小、文件权限设置等问题都可能会导致Linux软件漏洞修复失败。您需要先在服务器中手动处理以上问题,才能在云安全中心控制台上修复该服务器上的漏洞。以下是您需要在服务器中手动处理的异常情况:
Windows系统漏洞修复按钮为灰色
服务器的磁盘空间过小、Windows Update服务正在运行中等原因都会导致Windows服务器上的漏洞修复失败。服务器出现此类情况时,云安全中心会将漏洞的修复按钮置为灰色。您需要先手动处理服务器的这些问题,才能在云安全中心控制台上修复该服务器上的漏洞。您可以将鼠标移至修复按钮处,查看服务器存在的问题和云安全中心提供的问题处理建议。以下是您需要手动处理的服务器异常情况:
Linux软件漏洞、Windows系统漏洞修复失败,是什么原因?
在您使用云安全中心修复Linux软件漏洞、Windows系统漏洞时,如果提示漏洞修复失败,请参考以下步骤进行排查和处理:
说明
建议您针对以下表格中的说明,按照从上到下的顺序来排查漏洞修复失败的原因。
问题原因
具体说明
处理方案
漏洞所在的服务器Agent已离线。
Agent离线将导致漏洞修复失败。服务器与云安全中心服务端的网络连接异常、服务器的CPU或内存占用率过高等问题都会导致服务器Agent离线。
建议您及时排查Agent离线的原因并进行相应处理。更多信息,请参见。
漏洞所在的服务器磁盘空间已占满、或内存不足。
如果您服务器上的磁盘空间已满,云安全中心执行漏洞修复时,无法在您的服务器上下载相关补丁文件,从而导致漏洞修复失败。
处理步骤如下:
增大服务器的存储空间或者清理服务器上已不需要的文件。
确定目标服务器的存储空间够用后,重新在云安全中心控制台修复该漏洞。
对漏洞所在的服务器磁盘文件系统没有读写权限。
如果您没有磁盘文件系统的读写权限,会因为无法成功下载补丁安装包而导致漏洞修复失败。
处理步骤如下:
更改磁盘文件系统的读写权限。
确认权限修改成功后,在云安全中心控制台重新修复该漏洞。
(Linux漏洞)漏洞所在的服务器系统更新源配置存在问题。
由于系统更新源配置问题导致无法安装更新,或YUM软件列表未更新到最新版。
处理步骤如下:
配置服务器系统更新源。您可以根据需要选择以下任一方式进行配置:
在云安全中心控制台重新修复该漏洞。
(Linux漏洞)RPM数据库损坏。
RPM数据库损坏可能会导致更新软件包安装失败,从而导致漏洞修复失败。
处理步骤如下:
执行rm -f /var/lib/rpm/_db.*删除RPM锁文件。
执行rpm -rebuilddb重建RPM数据库。
说明
该命令执行可能耗时较长。
(Windows漏洞)该漏洞前置补丁缺失。
前置补丁缺失会导致漏洞修复失败。
处理步骤如下:
及时安装前置补丁。
安装成功后,重新在云安全中心控制台修复该漏洞。
(Windows漏洞)漏洞所在的服务器Windows Update或Windows Modules Installer服务已被禁用。
Windows Update或Windows Modules Installer服务被禁用时,您将无法下载漏洞补丁文件,从而导致系统无法更新。
处理步骤如下:
启用Windows Update和Windows Modules Installer服务。
在云安全中心控制台重新修复该漏洞。
(Windows漏洞)漏洞补丁包的下载和安装存在问题。
补丁安装包不存在、补丁安装包不匹配等问题会导致无法下载或安装漏洞补丁文件。
处理方法如下:
(Windows漏洞)服务器其他问题。
无
处理方法如下:
Web-CMS漏洞修复失败是什么原因?
在您使用云安全中心漏洞修复功能修复Web-CMS漏洞时,如果提示漏洞修复失败,请参考以下可能原因:
说明
建议您针对以下表格中的说明,按照从上到下的顺序来排查漏洞修复失败的原因。
问题原因
具体说明
处理方案
网络连接不正常。
您服务器与云安全中心服务端网络连接不正常,即Agent为离线状态,漏洞将无法修复。
排查并首先处理网络问题,使Agent恢复在线状态。更多信息,请参见。
漏洞所在的服务器Agent已离线。
Agent离线将导致漏洞修复失败。服务器与云安全中心服务端的网络连接异常、CPU或内存占用率过高等问题都会导致服务器Agent离线。
建议您及时排查Agent离线的原因并进行相应处理。更多信息,请参见。
漏洞所在的服务器磁盘空间已占满、或内存不足。
如果您服务器上的磁盘空间已满,云安全中心执行漏洞修复时,无法在您的服务器上下载相关补丁文件,从而导致漏洞修复失败。
处理步骤如下:
增大服务器的存储空间或者清理服务器上已不需要的文件。
确定目标服务器的存储空间够用后,重新在云安全中心控制台修复该漏洞。
漏洞所在的服务器安装了第三方安全软件。
如果您的服务器上安装了安全狗或者其他类似安全防护软件,并且使用这类软件进行过目录权限优化或者相应的设置,可能会导致system账号对www目录及其子目录没有读写权限,导致云安全中心无法进行漏洞修复。
请您确认您目标服务器上的system账号是否对www目录及其子目录有读写权限。如果没有,请手动为system账号添加读写权限。
漏洞文件已不存在。
如果漏洞文件已被删除,云安全中心会提示漏洞修复失败。
处理步骤如下:
根据云安全中心控制台漏洞详情中提供的文件路径,在您的服务器中查看该文件是否已被删除。
如果确认该漏洞文件已被删除,您可以忽略该漏洞告警。
修复漏洞后仍显示未修复,是什么原因?
漏洞状态不会自动变化,只有在执行漏洞扫描操作后漏洞状态才会更新。以下是不同云安全中心版本在修复漏洞后仍显示未修复的原因和解决方案。
漏洞是否会被自动修复?
云安全中心不会自动修复漏洞,仅支持漏洞检测和一键修复(在线下发漏洞修复任务)。云安全中心进行漏洞检测的同时会验证漏洞,之前检测出的漏洞再次检测时如果漏洞消失,会将该漏洞状态置为修复成功。可能导致漏洞消失的情况包括:用户登录服务器手动升级软件包、容器停止运行、漏洞组件消失、进程不存在等。
批量进行漏洞修复时,漏洞修复按照什么顺序执行?
Linux软件漏洞和Web-CMS漏洞按照控制台中漏洞列表的顺序执行批量修复。修复部分Windows系统漏洞时会需要先安装前置补丁,批量修复Windows系统漏洞时优先修复此类漏洞,其余漏洞按照控制台中漏洞列表顺序执行修复。
修复漏洞时创建快照失败是什么原因?我该怎么办?
修复漏洞时创建快照失败可能是以下原因造成的:
漏洞已经修复了,但云安全中仍提示存在漏洞怎么办?
出现该情况是因为部分漏洞(即Linux内核漏洞)修复后需要重启服务器。请在漏洞详情页面,单击重启。重启完成后,单击验证,显示修复成功则代表该漏洞已修复成功。
我对漏洞进行修复,但是提示“权限获取失败,请检查权限后重试”怎么办?
出现该情况是因为当前登录的账户对所需操作的文件没有权限。建议您单击漏洞名称,查看漏洞详情,查看漏洞需要修复的文件其所属用户是否为root。如果不是root,请前往您的服务器中将该文件的所属用户改为root。文件所属用户修改完成后,再在云安全中心控制台执行修复操作。
服务器云安全中心客户端已离线或关闭,为什么漏洞还在控制台中显示?
服务器客户端离线或关闭时,已检测出的漏洞记录会一直保留在云安全中心管理控制台上。
客户端离线或关闭,系统漏洞的告警3天自动失效,Web-CMS漏洞7天自动失效,应用漏洞的告警30天自动失效,应急漏洞的告警90天自动失效。漏洞失效后,您无法对漏洞执行任何操作,包括修复漏洞或清除漏洞记录。
除非您的云安全中心服务过期后7天内仍未续费,您的云安全中心数据才会被释放并彻底删除。此时,您在云安全中心管理控制台上看不到任何数据。
如何清理客户端目录中的Windows漏洞修复补丁包?
执行一键修复Windows系统漏洞后,由云安全中心客户端负责安装包的自动下载、安装和清理,无需您进行手动操作。漏洞修复完成超过3天后,如果安装包未被及时清理掉,您可参考以下步骤手动清理漏洞补丁包:
登录云安全中心控制台。在控制台左上角,选择需防护资产所在的区域:中国或全球(不含中国)。
在左侧导航栏,选择系统配置 > 功能设置。
如果您已开启客户端自保护,在资产中心该服务器的详情页面,关闭客户端自保护开关。
如果您未开启过客户端自保护,请跳过当前步骤,直接执行下一步骤。
客户端自保护会对您服务器客户端目录下的所有进程文件提供默认保护。客户端自保护开启后,您在Windows服务器上对客户端目录下的任何进程文件进行删除或下载操作都会被云安全中心拒绝。
使用管理员权限登录您的Windows服务器。
找到漏洞补丁包并手动删除。
补丁包所在的路径为C:\Program Files (x86)\Alibaba\Aegis\globalcfg\hotfix。
(可选)在资产中心该服务器的详情页面,开启客户端自保护。
如何处理连接阿里云官方Yum源超时?
如果连接阿里云官方Yum源超时,系统会出现类似如下的报错信息:
[Errno 12] Timeout on http://mirrors.aliyun.com/centos/6/os/x86_64/repodata/repomd.xml: (28, 'connect() timed out!')
这种情况下,请检查您服务器的DNS解析是否正常,并稍作等待。如果一段时间后仍无法解决,请通过智能在线联系技术支持人员。
修复漏洞时,提示token校验失败,应该如何处理?
当您在云安全中心控制台执行某项操作,收到token校验失效的提示时,您可以刷新当前页面,重新登录云安全中心管理控制台。
说明
您可按Ctrl+F5,强制刷新当前浏览器页面。
需要重启才能验证的漏洞,云安全中心能自动验证吗?
不会。
修复成功但需要重启才能验证的漏洞其状态为修复成功待重启。您需要在云安全中心控制台执行重启操作,或者自行手动重启服务器。重启完成后,您可以单击验证,确认漏洞是否已被成功修复。
云安全中心会周期性执行漏洞扫描。如果重启后,您未执行验证操作。该类漏洞修复后,云安全中心将检测不到该类漏洞。从第一次检测不到该类漏洞起,控制台会将该类漏洞的信息保存三天(确保非网络或其他原因没有检测到该漏洞),三天后控制台会清除该类漏洞信息。
除非您的云安全中心服务过期7天内仍未续费,您的云安全中心数据才会被释放并彻底删除。此时,您将无法查看应用漏洞数据,其余漏洞的数据将保留。
为什么漏洞修复后手动验证没有反应?
您在服务器上手动执行云安全中心生成的系统软件漏洞修复命令,将相关的系统软件成功升级到新的版本,并且该版本已符合云安全中心控制台漏洞修复页面的描述要求。然而,当您在云安全中心管理控制台的漏洞详情页面,选择相应的漏洞,单击验证,该漏洞的状态没有正常更新为已修复。
您可以使用以下方法进行排查,解决该问题:
为什么进行漏洞回滚操作会失败?
当通过云安全中心进行漏洞回滚操作失败时,您可以参考下述内容操作。
确认您的服务器的云安全中心Agent是否处于在线状态。如果您的服务器显示离线,请排查Agent离线原因。更多信息,请参见。
确认您服务器上该漏洞的快照文件是否已过期被删除。
快照被删除后,漏洞将无法回滚。如果您的快照仍存在,通过智能在线联系技术支持人员
云安全中心是否支持Elasticsearch漏洞检测?
支持。
您可以在云安全中心控制台风险治理 > 漏洞管理页面的应用漏洞,查看是否检测出Elasticsearch漏洞。
说明
应用漏洞为企业版和旗舰版功能,免费版、防病毒版和高级版不支持。免费版、防病毒版和高级版用户需先升级到企业版,才可使用应用漏洞功能。
为什么同一个服务器有多个相同的应用漏洞?
云安全中心的应用漏洞检测是以进程为单位进行的,有多少进程就会检测出对应数量的应用漏洞;如果服务器上存在包含应用漏洞的软件,但没有对应进程的运行,就不会检测出应用漏洞。
应急漏洞检测会不会对我的业务系统产生影响?
应急漏洞检测是通过初步检测漏洞原理确认是否存在漏洞。云安全中心会发送1~2个TCP网络请求报文至您的所有ECS或SLB等IP地址,但不会执行任何实际上的黑客行为。云安全中心应急漏洞检测功能上线前都经过了大规模百万IP数量级的测试,具有很高的稳定性和可靠性。但是测试无法完全覆盖未知风险,可能会存在未知风险。例如会存在由于某些网站业务逻辑脆弱(1~2个TCP请求会导致服务器宕机)对业务系统造成风险。
为什么Fastjson类的应急漏洞多次扫描时每次检测结果可能不一致?
Fastjson漏洞的检测依赖JAR包运行态是否加载,Webserver对于JAR包的加载分为动态加载和静态加载。动态加载模式下,Fastjson漏洞只有在JAR包运行时才能被检测出来,所以每个时段检测结果会存在差异。建议您针对Fastjson漏洞进行多次检测,提升检测结果的准确度。
漏洞扫描周期说明
云安全中心支持漏洞扫描和修复,覆盖的漏洞类型包括:Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应急漏洞、应用漏洞。以下表格展示了各类型漏洞默认的扫描周期。
漏洞类型
免费版
防病毒版
高级版
企业版
旗舰版
Linux软件漏洞
每隔一天自动扫描一次
每隔一天扫描一次
每天自动扫描一次
每天自动扫描一次
每天自动扫描一次
Windows系统漏洞
每隔一天自动扫描一次
每隔一天扫描一次
每天自动扫描一次
每天自动扫描一次
每天自动扫描一次
Web-CMS漏洞
每隔一天自动扫描一次
每隔一天扫描一次
每天自动扫描一次
每天自动扫描一次
每天自动扫描一次
应用漏洞
不支持扫描
不支持扫描
不支持扫描
每周自动扫描一次(支持修改自动扫描周期)
每周自动扫描一次(支持修改自动扫描周期)
应急漏洞
不扫描
不扫描
不扫描(支持设置扫描周期进行周期性扫描)
不扫描(支持设置扫描周期进行周期性扫描)
不扫描(支持设置扫描周期进行周期性扫描)
如果需要开启或关闭某种类型漏洞的扫描能力,或修改应用漏洞、应急漏洞的扫描周期,可使用漏洞管理设置功能。更多信息,请参见。如果您需要立即扫描您的资产中是否存在漏洞,可使用云安全中心提供的一键扫描功能。更多信息,请参见。
漏洞扫描完成后,您可在云安全中心控制台风险治理 > 漏洞管理页面查看漏洞检测的结果并进行相应处理。
漏洞扫描会扫描系统层面和应用层面的漏洞吗?
是的,漏洞扫描会扫描系统漏洞(服务器上系统层级漏洞)和Web漏洞(应用层漏洞)。