漏洞修复策略 漏洞修复周期 高危漏洞: PostgreSQL社区发现漏洞并发布修复方案后,一般在1个月内,华为云RDS for PostgreSQL会完成漏洞全量分析,涉及且评定为高危的漏洞,进行主动预警升级。 其他漏洞: 其他漏洞请参见内核版本说明,按照版本正常升级流程解决。
获取漏洞任务的未读数量 功能介绍 获取漏洞任务的未读数量 调用方法 请参见如何调用API。
管理漏洞类型 操作场景 本章节介绍如何管理漏洞类型,详细操作如下: 查看已有漏洞类型:查看已有的漏洞类型及其详细信息。系统内置的漏洞类型列表请参考内置漏洞类型。 新增漏洞类型:介绍如何自定义新增漏洞类型。 漏洞类型关联布局:介绍如何将自定义新增的漏洞类型关联已有布局。
Linux CUPS服务RCE 漏洞公告(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177) 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 REC CVE-2024-47076 CVE
如何处理漏洞? 查看漏洞详情。 按照漏洞等级逐个修复漏洞。 Windows系统漏洞修复完成后需要重启。 Linux系统Kernel类的漏洞修复完成后需要重启。 漏洞修复完成后建议立即执行修复验证,核实修复结果。 父主题: 风险预防
ps -ef |grep ControllerService 如果包含参数“ -Dfastjson.parser.safeMode=true”,说明漏洞问题已经规避,如下图所示: 使用omm用户在备OMS节点重复执行1与2。 父主题: MRS Fastjson漏洞修复指导
Fastjson漏洞修复指导
选择“镜像漏洞 > 官方镜像仓库漏洞”页签。 查看漏洞占比。按“漏洞修复紧急度”进行统计的漏洞数量及占比。 查看漏洞列表,各参数说明如表1所示。 表1 参数说明 参数名称 说明 操作 漏洞名称 - 单击,查看漏洞详情,包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。
漏洞公告 未认证的控制面DoS攻击(CVE-2022-23635) Istiod TLS证书密钥滥用(CVE-2021-34824)
漏洞修复公告 修复Linux内核SACK漏洞公告 kube-proxy安全漏洞CVE-2020-8558公告 CVE-2020-13401的漏洞公告 CVE-2020-8559的漏洞公告 CVE-2020-8557的漏洞公告
检测与修复建议 华为云企业主机安全支持对该漏洞的便捷检测与修复。 检测并查看漏洞详情。 详细的操作步骤请参见扫描漏洞和查看漏洞详情。 进行漏洞的修复与验证。 详细的操作步骤请参见处理漏洞。 父主题: HSS针对官方披露漏洞的修复建议
检测与修复建议 华为云企业主机安全对该漏洞的便捷检测与修复。 检测并查看漏洞详情。 详细的操作步骤请参见扫描漏洞和查看漏洞详情。 进行漏洞的修复与验证。 详细的操作步骤请参见处理漏洞。 检测主机是否开放了“4505”和“4506”端口。
选择“镜像漏洞 > 私有镜像仓库漏洞”页签。 查看漏洞占比。 按“漏洞修复紧急度”进行统计的漏洞数量及占比。 查看漏洞列表,各参数说明如表1所示。 表1 参数说明 参数名称 说明 操作 漏洞名称 - 单击,查看漏洞详情,包括漏洞ID、漏洞分值、漏洞披露时间和漏洞描述。
高危漏洞自动通知 剧本说明 安全云脑提供的高危漏洞自动通知剧本,当新增主机漏洞,且等级为高危时,自动通知运营人员。
图1 查看已安装插件版本 若插件版本在3.0.32及以下,则受漏洞影响,否则不受这些漏洞影响。 漏洞修复方案 CCE已发布新的NGINX Ingress控制器插件修复该漏洞,请升级到v3.0.34及以上版本修复,详情请参见NGINX Ingress控制器插件版本发布记录。
图1 查看已安装插件版本 若插件版本在2.4.14及以下,则受漏洞影响,否则不受这些漏洞影响。 漏洞修复方案 CCE Autopilot集群将发布新的NGINX Ingress控制器插件修复该漏洞,请留意NGINX Ingress控制器插件版本发布记录。
查看或导出应急漏洞公告 背景信息 应急漏洞指的是华为云安全公告讯息中呈现的业界近期广泛披露的安全漏洞。安全云脑通过采集应急漏洞讯息,及时呈现业界近期广泛披露的安全漏洞,并支持一键获取安全漏洞详情、影响范围和处置建议等信息,提供对资产风险的消减建议。
Float CVSS分数 publish_time Long 公布时间,时间单位:毫秒(ms) description String cve描述 请求示例 查询漏洞id为vul_id的漏洞对应cve信息。
开源组件Fastjson拒绝服务漏洞 2019年09月03日,华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。
漏洞修复说明 表1 已修补的开源及第三方软件漏洞列表 软件名称 软件版本 CVE编号 CSS得分 漏洞描述 受影响版本 解决版本 log4j 2.13.2 CVE-2021-44228 9.8 Apache Log4j2 2.0-beta9 through 2.15.0 (excluding
