统信UOS(统信服务器操作系统debian)修复CVE高危漏洞

2024-03-03 23:30

本文主要是介绍统信UOS(统信服务器操作系统debian)修复CVE高危漏洞,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

针对某托管平台分配的4台虚拟服务器,操作系统统信UOS(debian)服务器发现高危漏洞 并修复。

OpenSSH 命令注入漏洞(CVE-2020-15778) / OpenSSH 安全漏洞(CVE-2021-41617) /  OpenSSH 输入验证错误漏洞(CVE-2019-16905) 的修复办法。

 图1

 将离线补丁包上传到服务器,运行 dpkg -i  包名.deb 依次安装补丁包,安装顺序为client,sftp,server 。

资源包:https://download.csdn.net/download/AirIT/87881104

开源镜像站下载地址: debian安装包下载_开源镜像站-阿里云

仓库名:debian

发行版:buster        适用于debian10

架构:arm64

相关仓库
  • Debian安装源(debian-cd):debian-cd镜像_debian-cd下载地址_debian-cd安装教程-阿里巴巴开源镜像站
  • Debian安全更新源(debian-security):debian-security镜像_debian-security下载地址_debian-security安装教程-阿里巴巴开源镜像站
  • Debian第三方多媒体软件源(debian-multimedia):debian-multimedia镜像_debian-multimedia下载地址_debian-multimedia安装教程-阿里巴巴开源镜像站
  • Debian预发软件源(debian-backports):debian-backports镜像_debian-backports下载地址_debian-backports安装教程-阿里巴巴开源镜像站
  • Debian其他架构移植源(debian-ports):debian-ports镜像_debian-ports下载地址_debian-ports安装教程-阿里巴巴开源镜像站
  • Debian过期源(debian-archive):debian-archive镜像_debian-archive下载地址_debian-archive安装教程-阿里巴巴开源镜像站
root# cat /etc/debian_version
10.3
root# uname -a
Linux 4.19.0-arm64-server #3211 SMP Thu Apr 15 10:21:53 CST 2021 aarch64 GNU/Linuxroot# cat /etc/apt/sources.list    //debian10版本镜像源如下
deb https://mirrors.aliyun.com/debian/ buster main non-free contrib
deb-src https://mirrors.aliyun.com/debian/ buster main non-free contrib
deb https://mirrors.aliyun.com/debian-security buster/updates main
deb-src https://mirrors.aliyun.com/debian-security buster/updates main
deb https://mirrors.aliyun.com/debian/ buster-updates main non-free contrib
deb-src https://mirrors.aliyun.com/debian/ buster-updates main non-free contrib
deb https://mirrors.aliyun.com/debian/ buster-backports main non-free contrib
deb-src https://mirrors.aliyun.com/debian/ buster-backports main non-free contrib
root@V01:~/data/Patch-20230608# dpkg -i openssh-client_7.9p1.10-deepin1_arm64.deb
(Reading database ... 156351 files and directories currently installed.)
Preparing to unpack openssh-client_7.9p1.10-deepin1_arm64.deb ...
Unpacking openssh-client (1:7.9p1.10-deepin1) over (1:7.9p1.1-1+dde) ...
Setting up openssh-client (1:7.9p1.10-deepin1) ...
Processing triggers for man-db (2.8.5-2) ...root@V01:~/data/Patch-20230608# dpkg -i openssh-sftp-server_7.9p1.10-deepin1_arm64.deb
(Reading database ... 156351 files and directories currently installed.)
Preparing to unpack openssh-sftp-server_7.9p1.10-deepin1_arm64.deb ...
Unpacking openssh-sftp-server (1:7.9p1.10-deepin1) over (1:7.9p1.10-deepin1) ...
Setting up openssh-sftp-server (1:7.9p1.10-deepin1) ...
Processing triggers for man-db (2.8.5-2) ...root@V01:~/data/Patch-20230608# dpkg -i openssh-server_7.9p1.10-deepin1_arm64.deb
(Reading database ... 156351 files and directories currently installed.)
Preparing to unpack openssh-server_7.9p1.10-deepin1_arm64.deb ...
Unpacking openssh-server (1:7.9p1.10-deepin1) over (1:7.9p1.1-1+dde) ...
Setting up openssh-server (1:7.9p1.10-deepin1) ...

在安装server包时,这里配置文件会提示如下,选择第二个保持当前安装的本地版本。

图2 

全部安装完毕后,重新再对四台服务器进行漏扫,发现高、中危漏洞都已修复。

图3 

验证服务器漏洞修复状态

apt-get changelog openssh-server  | grep  CVE

图4 

关于升级到修复版本后,漏洞再次扫描出漏洞信息,是因为扫描方法的原因,即通过公开的漏洞信息描述判断,而同一个漏洞在不同的linux或不同的操作系统中的情况可能不一样,各个操作系统亦有各自的维护策略,而不能单一地通过公开的漏洞信息描述去判断,因此通过启用服务器的ufw防火墙,限制端口的形式来做策略即可实现修复漏洞。

sudo ufw allow 111/tcp
sudo ufw allow 6888/tcp
sudo ufw allow 2049/tcp
sudo ufw allow 54321/tcpufw allow from *.*.26.221 to any port 22
ufw allow from *.*.27.116 to any port 22
ufw allow from *.*.27.61 to any port 22
ufw allow from *.*.29.82 to any port 22
ufw allow from *.*.29.61 to any port 22
ufw allow from 192.168.21.11 to any port 22
ufw allow from 192.168.21.7 to any port 22
ufw allow from 192.168.21.17 to any port 22
ufw allow from 192.168.21.14 to any port 22
ufw deny 22/tcp
sudo ufw enable
sudo ufw status

删除ufw 钟 22 any策略如下(记得提前先放行允许访问的IP):

root:/# sudo ufw status numbered
Status: activeTo                         Action      From--                         ------      ----
[ 1] 22                         ALLOW IN    Anywhere
[ 2] 6888                       ALLOW IN    192.168.21.0/24
[ 3] 6888                       ALLOW IN    *.*.29.0/24
[ 4] 6888                       ALLOW IN    *.*.27.0/24
[ 5] 111/tcp                    ALLOW IN    Anywhere
[ 6] 6888/tcp                   ALLOW IN    Anywhere
[ 7] 2049/tcp                   ALLOW IN    Anywhere
[ 8] 54321/tcp                  ALLOW IN    Anywhere
[ 9] 22                         ALLOW IN    *.*.26.220
[10] 22                         ALLOW IN    *.*.26.221
[11] 22                         ALLOW IN    *.*.26.222
[12] 22                         ALLOW IN    *.*.26.220
[13] 22                         ALLOW IN    *.*.26.221
[14] 22                         ALLOW IN    *.*.26.222
[15] 22                         ALLOW IN    *.*.27.116
[16] 22                         ALLOW IN    *.*.27.61
[17] 22                         ALLOW IN    *.*.29.82
[18] 22                         ALLOW IN    *.*.29.61
[19] 22                         ALLOW IN    192.168.21.11
[20] 22                         ALLOW IN    192.168.21.7
[21] 22                         ALLOW IN    192.168.21.17
[22] 22                         ALLOW IN    192.168.21.14
[23] 22/tcp                     DENY IN     Anywhere
[24] 22 (v6)                    ALLOW IN    Anywhere (v6)
[25] 111/tcp (v6)               ALLOW IN    Anywhere (v6)
[26] 6888/tcp (v6)              ALLOW IN    Anywhere (v6)
[27] 2049/tcp (v6)              ALLOW IN    Anywhere (v6)
[28] 54321/tcp (v6)             ALLOW IN    Anywhere (v6)
[29] 22/tcp (v6)                DENY IN     Anywhere (v6)root:/# sudo ufw delete 1
Deleting:allow 22
Proceed with operation (y|n)? y
Rule deleted
root:/#

附:最新漏扫图

图5

附件:统信UOS(debian)telnet离线包

https://download.csdn.net/download/AirIT/88059637

这篇关于统信UOS(统信服务器操作系统debian)修复CVE高危漏洞的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/771264

相关文章

服务器集群同步时间手记

1.时间服务器配置(必须root用户) (1)检查ntp是否安装 [root@node1 桌面]# rpm -qa|grep ntpntp-4.2.6p5-10.el6.centos.x86_64fontpackages-filesystem-1.41-1.1.el6.noarchntpdate-4.2.6p5-10.el6.centos.x86_64 (2)修改ntp配置文件 [r

Linux服务器Java启动脚本

Linux服务器Java启动脚本 1、初版2、优化版本3、常用脚本仓库 本文章介绍了如何在Linux服务器上执行Java并启动jar包, 通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动, 那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。 1、初版 第一个版本是常用的做法,直接使用nohup后台启动jar包, 并将日志输出到当前文件夹n

基于51单片机的自动转向修复系统的设计与实现

文章目录 前言资料获取设计介绍功能介绍设计清单具体实现截图参考文献设计获取 前言 💗博主介绍:✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师,一名热衷于单片机技术探索与分享的博主、专注于 精通51/STM32/MSP430/AVR等单片机设计 主要对象是咱们电子相关专业的大学生,希望您们都共创辉煌!✌💗 👇🏻 精彩专栏 推荐订阅👇🏻 单片机

Linux操作系统 初识

在认识操作系统之前,我们首先来了解一下计算机的发展: 计算机的发展 世界上第一台计算机名叫埃尼阿克,诞生在1945年2月14日,用于军事用途。 后来因为计算机的优势和潜力巨大,计算机开始飞速发展,并产生了一个当时一直有效的定律:摩尔定律--当价格不变时,集成电路上可容纳的元器件的数目,约每隔18-24个月便会增加一倍,性能也将提升一倍。 那么相应的,计算机就会变得越来越快,越来越小型化。

速盾:直播 cdn 服务器带宽?

在当今数字化时代,直播已经成为了一种非常流行的娱乐和商业活动形式。为了确保直播的流畅性和高质量,直播平台通常会使用 CDN(Content Delivery Network,内容分发网络)服务器来分发直播流。而 CDN 服务器的带宽则是影响直播质量的一个重要因素。下面我们就来探讨一下速盾视角下的直播 CDN 服务器带宽问题。 一、直播对带宽的需求 高清视频流 直播通常需要传输高清视频

一种改进的red5集群方案的应用、基于Red5服务器集群负载均衡调度算法研究

转自: 一种改进的red5集群方案的应用: http://wenku.baidu.com/link?url=jYQ1wNwHVBqJ-5XCYq0PRligp6Y5q6BYXyISUsF56My8DP8dc9CZ4pZvpPz1abxJn8fojMrL0IyfmMHStpvkotqC1RWlRMGnzVL1X4IPOa_  基于Red5服务器集群负载均衡调度算法研究 http://ww

RTMP流媒体服务器 crtmpserver

http://www.oschina.net/p/crtmpserver crtmpserver又称rtmpd是Evostream Media Server(www.evostream.com)的社区版本采用GPLV3授权 其主要作用为一个高性能的RTMP流媒体服务器,可以实现直播与点播功能多终端支持功能,在特定情况下是FMS的良好替代品。 支持RTMP的一堆协议(RT

【经验交流】修复系统事件查看器启动不能时出现的4201错误

方法1,取得『%SystemRoot%\LogFiles』文件夹和『%SystemRoot%\System32\wbem』文件夹的权限(包括这两个文件夹的所有子文件夹的权限),简单点说,就是使你当前的帐户拥有这两个文件夹以及它们的子文件夹的绝对控制权限。这是最简单的方法,不少老外说,这样一弄,倒是解决了问题。不过对我的系统,没用; 方法2,以不带网络的安全模式启动,运行命令行,输入“ne

云原生之高性能web服务器学习(持续更新中)

高性能web服务器 1 Web服务器的基础介绍1.1 Web服务介绍1.1.1 Apache介绍1.1.2 Nginx-高性能的 Web 服务端 2 Nginx架构与安装2.1 Nginx概述2.1.1 Nginx 功能介绍2.1.2 基础特性2.1.3 Web 服务相关的功能 2.2 Nginx 架构和进程2.2.1 架构2.2.2 Ngnix进程结构 2.3 Nginx 模块介绍2.4

阿里云服务器ces

允许公网通过 HTTP、HTTPS 等服务访问实例 https://help.aliyun.com/document_detail/25475.html?spm=5176.2020520101.0.0.3ca96b0b3KGTPq#allowHttp