`
275553385
  • 浏览: 721565 次
  • 性别: Icon_minigender_1
  • 来自: 无锡
文章分类
社区版块
存档分类
最新评论

安全漏洞整改解决方案(很不错网络文章)

阅读更多
注意:以下所有操作須确认后再实施:
1. OpenSSH 相关漏洞 
解决方案

升级OpenSSH为最新版本,目前为5.9,首先到官网(http://www.openssh.com/portable.html#http)下载:openssh-5.9p1.tar.gz

把OpenSSH 上传到服务器,首先检查升级前版本(以下所有操作均在root下完成):

shell> ssh -V # 此命令会显示OpenSSL、OpenSSH的詳細版本号

首先安装OpenSSH:

shell> tar xvf openssh-5.9p1.tar.gz

shell> cd openssh-5.9p1

shell> sed -i -e ‘s/_5.9//’ version.h

查询信赖包是否安装:

shell> rpm -qa | grep zlib #如果能看到zlib、zlib-devel,请继续,否则安装后再继续。

shell> ./configure –sysconfdir=/etc/ssh

shell> make && make install

开始配置:

shell> /bin/cp /usr/local/sbin/sshd /etc/init.d/sshd

shell> mkdir /root/ssh_bak  #创建备份目录

shell> mv /etc/ssh/* /root/ssh_bak/  #移动到备份目录

shell> /bin/cp /usr/local/etc/* /etc/ssh/

shell> sed -e ‘s@/usr/bin/ssh-keygen.*@#@’ /etc/init.d/sshd

shell> /etc/init.d/sshd restart

shell> ssh -V 检查是否是 OpenSSHp1 开头,如果是,则OpenSSH升级成功。



2.远端WEB服务器上存在/robots.txt文件
解决方案:

解决方案: 可直接删除(可参考:http://zh.wikipedia.org/wiki/Robots.txt)



3.ICMP timestamp请求响应漏洞
解决方案:

shell> echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all

shell> echo “echo “1″ > /proc/sys/net/ipv4/icmp_echo_ignore_all” >> /etc/rc.local

Windows Server 2008 参考: http://hi.baidu.com/%BA%D3%C4%CF%CD%F8%C2%B7/blog/item/91076a62831cdb4aebf8f807.html

Windows Server 2003参考: http://zhidao.baidu.com/question/41992099



4. Apache Tomcat 相关漏洞  解决方案:

根据安全厂商给的解决方案链接:http://www.ocert.org/advisories/ocert-2011-003.html  从此页面可得知,有问题的Tomcat版本如下:

<= 5.5.34, <= 6.0.34, <= 7.0.22,而无安全漏洞的 Tomcat版本如下: 5.5.35, >= 6.0.35, >= 7.0.23

访问:http://tomcat.apache.org/index.html 下载对应的Tomcat版本,例如经分在使用 Tomcat 5.5.34,下载对应的Tomcat 5.5.35;

如在使用Tomcat 6.0.34,下载对应的 Tomcat 6.0.35,依此类推。

4.1  Apache Tomcat sendfile请求安全限制绕过和拒绝服务漏洞:此漏洞也是通过上面的版本升级方式解决。具体请参考官方解释:

http://tomcat.apache.org/security-5.html#Fixed_in_Apache_Tomcat_5.5.35  和  http://secunia.com/advisories/45232/



5.SNMP服务存在可读口令
解决方案:

可按照漏洞扫描結果中的过程操作,如问困难,可向系统组同事请教。



6. rpc相关漏洞 解决方案:

(和项目组确认没有使用NFS后再操作)

shell> /etc/init.d/portmap stop && chkconfig portmap off

shell> /etc/init.d/rpcidmapd stop  &&  chkconfig rpcidmapd off

shell> /etc/init.d/nfslock stop && chkconfig nfslock off



7.利用SMTP/EXPN命令可猜测目标主机上的用户名 解决方案(待确认):



8.Oracle数据库服务器CREATE ANY DIRECTORY权限提升漏洞  暂时没有解决方案。



9. SNMP服务可以通过SNMPV1访问   解决方案(待确认)



10. Apache HTTP Server相关漏洞  解决方案:

通过下载使用Apache HTTP Server 2.2.22或以上可解决,详情参考:http://mail-archives.apache.org/mod_mbox/httpd-announce/201201.mbox/browser

此页面显示了2.2.22或以上这个版本修复了哪些安全漏洞。官方下载地址:http://www.apache.org/dyn/closer.cgi

10.1 Apache Apache::Status和Apache2::Status模块跨站脚本漏洞

http://mail-archives.apache.org/mod_mbox/perl-advocacy/200904.mbox/%3Cad28918e0904011458h273a71d4x408f1ed286c9dfbc@mail.gmail.com%3E

10.2  Apache服务器不完整HTTP请求拒绝服务漏洞[精确扫描]:

更改httpd.conf中 TimeOut 的值为30秒



11.远端WWW服务支持TRACE请求 解决方案 请参考第10点。



12.Oracle tnslsnr没有设置口令  解决方案:

扫描报告已经明确写出详细步骤,或DBA自己完成。



13. 猜测出远程FTP服务存在可登录的用户名口令  解决方案:

确认账号的密码复杂性,例如检查是否存在123456 类似这样的密码,如有简单密码,确认后再修改。



14.目标主机showmount -e信息泄露 解决方案:

确认是否有NFS服务在运行,如在运行确认是否关闭,如因有业务影响请在整改报告中明确写出原因(但绝不能外网访问NFS)。



15.检测到远端rlogin服务正在运行中  解决方案:

如果是AIX系统,请在整改报告中明确写出原因(但绝不能外网登录)。



16.远端运行着IDENT服务  解决方案:

漏洞扫描报告中已经有详细的操作步骤。



17.检测到远端rsh服务正在运行中   解决方案:

如果是AIX系统,请在整改报告中明确写出原因(但绝不能外网登录)。



18.检测到远端rexec服务正在运行中  解决方案:

漏洞扫描报告中已经有详细的操作步骤。



19.存在一个可用的远程代理服务器  解决方案待确认。



20.远程web主机存在目录遍历漏洞   解决方案待确认。



21. 远程主机允许匿名FTP登录  解决方案:

修改配置文件,不许出现匿名登录,由于FTP的类型较多,具体的操作步骤可咨询系统组同事。



22.FTP服务器版本信息可被获取  无需整改(因要修改源码重新编译)。



23.远端SSH Server允许使用低版本SSH协议  解决方案:

参考漏洞扫描报告中的操作步骤,或参考第1点直接升级OpenSSH版本(强烈建议)。



24.检测到远端XDMCP服务正在运行中  解决方案:

关闭XDMCP服务



25. PHP相关漏洞  解决方案:

根据http://www.venustech.com.cn/NewsInfo/124/6459.Html 可得知,受影响版本是:

PHP 5.2 <= 5.2.13

PHP 5.3 <= 5.3.2

目前最好的办法是升级PHP版本。官方最新稳定是:PHP 5.3.10。 而5.2.X 最高版本是:PHP 5.2.17

分享到:
评论

相关推荐

    网络安全等级保护测评整改解决方案【最新版】.docx

    网络安全等级保护测评整改解决方案【最新版】.docx网络安全等级保护测评整改解决方案【最新版】.docx网络安全等级保护测评整改解决方案【最新版】.docx网络安全等级保护测评整改解决方案【最新版】.docx网络安全等级...

    安全漏洞整改报告.docx

    通过此次整改行动,该公司不仅解决了现有的安全漏洞问题,还从根本上提高了整个系统的安全性。这些经验教训和改进措施对公司未来的信息安全工作具有重要的指导意义。未来,公司将继续加强网络安全管理和技术防护能力...

    网络安全等级保护测评整改解决方案【最新版】.pdf

    网络安全等级保护测评整改解决方案【最新版】.pdf网络安全等级保护测评整改解决方案【最新版】.pdf网络安全等级保护测评整改解决方案【最新版】.pdf网络安全等级保护测评整改解决方案【最新版】.pdf网络安全等级保护...

    网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案.docx

    网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案.docx网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案.docx网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案....

    漏洞整改报告模板.docx

    尽管大部分高危和中危漏洞已经得到整改,但针对未处理的高风险项,项目组需要持续跟进,寻找最佳解决方案,并定期复审已处理的漏洞,防止安全状况的恶化。此外,应加强系统的日常维护和监测,及时发现并处理新的安全...

    python-安全漏洞整改意见.docx

    python 安全漏洞整改意见 Python是一种高级编程语言,广泛应用于各种领域,包括Web开发、数据分析、人工智能等。然而,由于其开放性和灵活性,Python也存在一些安全漏洞,这些漏洞可能会导致数据泄露、系统崩溃等...

    信息系统安全建设整改方案要素.docx

    信息系统安全建设整改方案要素是指信息系统安全建设整改工作中需要关注的要素。下面是该方案要素的详细解释: 6.1 项目背景简述:信息系统概况、信息系统在等级爱护工作方面的进展状况、定级备案状况和平安现状测评...

    网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案.pdf

    网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案.pdf网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案.pdf网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案....

    常见WEB安全漏洞及整改建议.docx

    本文档主要总结了常见的web的安全漏洞及处理办法,这些基本上都是我们做项目过程中发现并处理过得,希望能帮助到大家!

    关于Lotus Domino平台安全漏洞的整改手册.doc

    关于Lotus Domino平台的安全漏洞,本文档主要针对国家有关部门分析的密码散列泄露问题,提供了一套详尽的整改步骤,旨在保护基于Domino平台的协同办公系统免受潜在的安全威胁。以下是整改手册的主要内容: **第一章...

    suse11安全漏洞整改

    【SUSE 11 安全漏洞整改】 在IT领域,系统安全是至关重要的,特别是对于企业级操作系统如SUSE Linux Enterprise Server 11 (SLES11)来说。安全漏洞整改是确保系统免受攻击和恶意软件的关键步骤。本文将详细解析SUSE...

    信息安全整改方案.docx

    本文档主要讨论了网络安全整改的重要性,以四川沃联科技有限公司作为案例,阐述了如何针对企业的安全需求提出并实施一套全面的网络安全解决方案。以下是对文档内容的详细解析: 一、公司介绍 四川沃联科技有限公司...

    ipv6网络演进整改解决方案.doc

    ipv6网络演进整改解决方案.doc

    IPv6网络演进整改解决方案报告书.doc

    《IPv6网络演进整改解决方案》 随着互联网的飞速发展,IPv4地址资源的枯竭已经成为制约网络进一步扩展的瓶颈。为了解决这一问题,全球范围内正积极推动IPv6(Internet Protocol Version 6)的部署和应用。IPv6作为...

    常见网络安全漏洞常规漏洞.pdf

    网络安全漏洞是网络系统中存在的缺陷或弱点,这些缺陷或弱点可以被攻击者利用,以破坏系统安全策略,达到窃取敏感数据、拒绝服务、篡改数据、提升权限等非法目的。在网络安全领域,对漏洞的了解和防护至关重要。本...

    网络整改方案

    某公司的网络整改方案,写的很不错,值得一看!欢迎下载!

    2022年网络安全等保三级建设整改方案 网络安全等级保护第三级建设整改方案(专业完整版).docx

    - 这一部分通常会评估当前网络环境的安全状况,识别存在的风险和漏洞,以便确定整改的重点和方向。 3. **安全建设目标**: - 目标可能包括符合国家等保2.0标准,提升网络安全防护能力,实现安全策略的统一管理和...

    IPv6网络演进整改解决方案.doc

    IPv6网络演进整改解决方案是针对当前IPv4地址枯竭问题和互联网发展的必然趋势而提出的。IPv6(Internet Protocol Version 6)是互联网协议的下一代版本,提供了几乎无限的地址空间,解决了IPv4地址不足的问题。2011...

    基线扫描漏洞整改参考文档_jchaoy

    本文档主要介绍了nginx、websphere和tomcat三类中间件的基线扫描漏洞整改方法,对于中间件管理员和安全管理员提供了实用的参考指南。 一、Nginx基线扫描漏洞整改方法 1.隐藏Nginx版本信息 为了防止攻击者通过...

Global site tag (gtag.js) - Google Analytics