漏洞修复系列:一些服务器常见漏洞的修复方法
一些服务器常见漏洞的修复方法
一些服务器常见漏洞的修复方法
漏洞名称解释
lighttpd mod_alias_physical_handler’函数路径遍历漏洞(CVE-2018-19052)
lighttpd 输入验证错误漏洞(CVE-2019-11072)
OpenSSH 操作系统命令注入漏洞(CVE-2020-15778)
OpenSSH 安全漏洞(CVE-2021-41617)
Nginx DNS解析程序漏洞(CVE-2021-23017)
PHP 缓冲区错误漏洞(CVE-2021-21703)
PHP 资源管理错误漏洞(CVE-2021-21708)
PHP 安全漏洞(CVE-2022-31626)
PHP 安全漏洞(CVE-2022-31625)
Apache漏洞——卸载Apache2(可能不适用于大家)
sudo apt-get --purge remove apache2
sudo apt-get --purge remove apache2.2-common
sudo apt-get autoremove
sudo find /etc -name "*apache*" -exec rm -rf {} \;
sudo rm -rf /var/www
CVE-2020-15778——禁用SCP
sudo mv /usr/bin/scp /usr/bin/no_use_scp
CVE-2020-15778和CVE-2021-41617——升级openssl
cd ~
wget https://www.openssl.org/source/openssl-1.1.1q.tar.gz
tar xzvf openssl-1.1.1q.tar.gz
rmopenssl-1.1.1q.tar.gz
cd openssl-1.1.1q
./config --prefix=/usr/local/openssl
make -j12
sudo make install
sudo mv /usr/bin/openssl /usr/bin/openssl.bak
sudo ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl
which openssl
rm /home/sxf/anaconda3/bin/openssl # 视情况
sudo vim /etc/ld.so.conf
追加:/usr/local/openssl/lib
sudo ldconfig -v
openssl version
CVE-2021-41617——升级openssh
官方已修复该漏洞
cd ~
wget https://www.zlib.net/zlib-1.2.12.tar.gz
tar zxvf zlib-1.2.12.tar.gz
rm zlib-1.2.12.tar.gz
cd zlib-1.2.12/
./configure --prefix=/usr/local/zlib
make -j12
sudo make install
cd ~
sudo apt install libzip-dev libssl-dev autoconf gcc libxml2 make -y
wget https://fastly.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.0p1.tar.gz
tar zxvf openssh-9.0p1.tar.gz
rm openssh-9.0p1.tar.gz
cd openssh-9.0p1
./configure --prefix=/usr/bin/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl
make -j12
sudo make install
sudo mv /usr/bin/ssh /usr/bin/ssh.bk
sudo mv /usr/bin/openssh/bin/* /usr/bin/
sudo mv /usr/bin/scp /usr/bin/no_use_scp
sudo ldconfig
ssh -V
CVE-2018-19052和CVE-2019-11072——升级lighttpd
官方已修复该漏洞
sudo apt install -y gcc libpcre2-dev libpcre3 libpcre3-dev zlib1g-dev checkinstall libssl-dev
cd ~
wget https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.gz
tar zxvf lighttpd-1.4.66.tar.gz
rm lighttpd-1.4.66.tar.gz
cd lighttpd-1.4.66
./configure --with-openssl --sbindir=/usr/sbin
make -j12
sudo make install
sudo service lighttpd restart
CVE-2021-23017——卸载nginx(可能不适用于大家)
将残留卸载干净
dpkg --get-selections|grep nginx
sudo apt-get --purge remove nginx -y
sudo apt-get --purge remove nginx-common -y
sudo apt-get --purge remove nginx-core -y
CVE-2021-21703、CVE-2021-21708、CVE-2022-31626、CVE-2022-31625——升级PHP
官方8.1.7版本已修复该漏洞。原本装的PHP7,现在升级到8,升级后漏洞虽然得到修复,但对于服务器现有web环境的影响,还需要进一步检测。
sudo apt install software-properties-common
sudo add-apt-repository ppa:ondrej/php
sudo apt update
sudo apt install php8.1
sudo apt install php8.1-fpm