服务器安全漏洞修复

1************************2017年8月发现漏洞1*****************************
漏洞名称：
RHSA-2017:1100: nss and nss-util security update (Critical)     级别：高危
请参照Redhat安全公告RHSA-2017:1100了解受到影响的软件包和补丁细节，并对相应的软件包进行升级。
https://access.redhat.com/security/cve/cve-2017-5461
确认升级完成后，通过 rpm -qa 命令对受影响的软件包进行软件版本查看，确保以下软件版本不再受漏洞影响:
 CentOS6.x:
这些软件版本必须高于或等于 3.28.4-1.el6_9
nss
nss-devel
nss-util
nss-util-devel
nss-pkcs11-devel
nss-sysinit
nss-tools
- CentOS7.x:
这些软件版本必须高于或等于 3.28.4-1.0.el7_3
nss
nss-devel
nss-util
nss-util-devel
nss-pkcs11-devel
nss-sysinit
nss-tools

受影响软件包
nss nss-devel nss-util nss-util-devel nss-pkcs11-devel nss-sysinit nss-tools

修复/检测修复命令
yum update <软件包名> -y
rpm -qa <软件包名>


Ubuntu
请参照Ubuntu安全通告USN-3270-1了解受到影响的软件包和补丁细节，并对相应的软件包进行升级。https://usn.ubuntu.com/usn/usn-3270-1/
请先确认您需要的软件包，并对您不需要的软件包进行移除。例如，如果您不需要某个软件包，您可以通过apt-get remove 移除这个软件，从而避免相关的安全漏洞。
确认升级完成后，通过 dpkg -l 命令对受影响的软件包进行软件版本查看，确保以下软件版本不再受漏洞影响:

受影响软件包
nss firefox thunderbird

修复/检测修复命令
apt-get clean && apt-get update
apt-get install --only-upgrade nss; apt-get install --only-upgrade firefox ; apt-get install --only-upgrade thunderbird
dpkg -l nss firefox thunderbird

- Ubuntu 14.04：
firefox >= 53.0+build6-0ubuntu0.14.04.1
nss >= 3.28.4-0ubuntu0.14.04.1
thunderbird >= 52.1.1+build1-0ubuntu0.14.04.1

- Ubuntu 16.04:
firefox >= 53.0+build6-0ubuntu0.16.04.1
nss >= 3.28.4-0ubuntu0.16.04.1
thunderbird >= 52.1.1+build1-0ubuntu0.16.04.1




************************2017年7月发现漏洞1*****************************
漏洞名称：
RHSA-2016:2972: vim security update (Moderate)Vim 输入验证漏洞            漏洞等级：高危
目前厂商已经发布了升级补丁以修复此安全问题，建议将软件版本进行升级。
参考命令如下：
CentOS:
yum update vim vim-minimal

修复后验证方法：
CentOS6.x系统:
确认升级完成后，通过#rpm -qa | grep vim 命令进行软件版本查看
确保以下vim相关软件版本 >= 7.4.629-5.el6_8.1 (如果系统有安装使用)
vim >= 7.4.629-5.el6_8.1
vim-X11 >= 7.4.629-5.el6_8.1
vim-common >= 7.4.629-5.el6_8.1
vim-enhanced >= 7.4.629-5.el6_8.1
vim-filesystem >= 7.4.629-5.el6_8.1
vim-minimal >= 7.4.629-5.el6_8.1

CentOS7.x系统：
确认升级完成后，通过#rpm -qa | grep vim 命令进行查看软件版本
确保以下vim相关软件版本 >= 7.4.160-1.el7_3.1 (如果系统有安装使用)
vim >= 7.4.160-1.el7_3.1
vim-X11 >= 7.4.160-1.el7_3.1
vim-common >= 7.4.160-1.el7_3.1
vim-enhanced >= 7.4.160-1.el7_3.1
vim-filesystem >= 7.4.160-1.el7_3.1
vim-minimal >= 7.4.160-1.el7_3.1







************************2017年7月发现漏洞2*****************************
漏洞名称：
RHSA-2017:1372: kernel security and bug fix update (Moderate)Linux 内核拒绝服务漏洞（CNVD-2017-02483）            漏洞等级：高危
建议您先通过控制台手动创建快照并搭建环境充分测试后进行升级。
参考命令如下：
CentOS：
yum update kernel  kernel-devel  kernel-headers

修复后验证方法：
1.确认升级完成后，通过#uname -av 命令和#cat /proc/version 进行查看当前内核版本，确保当前使用内核版本 kernel >= 2.6.32-696.3.1.el6

2.查看cat /etc/grub.conf 下配置，是否已经调用2.6.32-696.6.3.el6.x86_64内核版本，确认有如下内容：
title CentOS (2.6.32-696.6.3.el6.x86_64)
kernel /boot/vmlinuz-2.6.32-696.6.3.el6.x86_64
initrd /boot/initramfs-2.6.32-696.6.3.el6.x86_64.img

3.并通过 #rpm -qa | grep kernel 命令进行查看版本，确保与kernel相关调用软件 >= 2.6.32-696.3.1.el6 (如果系统有安装使用)
kernel >=  2.6.32-696.3.1.el6
kernel-abi-whitelists >=  2.6.32-696.3.1.el6
kernel-bootwrapper >=  2.6.32-696.3.1.el6
kernel-debug >=  2.6.32-696.3.1.el6
kernel-debug-devel >=  2.6.32-696.3.1.el6
kernel-devel >=  2.6.32-696.3.1.el6
kernel-doc >=  2.6.32-696.3.1.el6
kernel-firmware >=  2.6.32-696.3.1.el6
kernel-headers >=  2.6.32-696.3.1.el6
kernel-kdump >=  2.6.32-696.3.1.el6
kernel-kdump-devel >=  2.6.32-696.3.1.el6
perf >= 2.6.32-696.3.1.el6
python-perf >= 2.6.32-696.3.1.el6






************************2017年7月发现漏洞3*****************************
漏洞名称：
RHSA-2016:2824: expat security update (Moderate)    Expat 中的远程代码执行漏洞        漏洞等级：低危
目前厂商已经发布了升级补丁以修复此安全问题，建议将软件版本进行升级：
参考命令如下：
CentOS ：
yum update expat

修复后验证方法：
CentOS6.x系统:
确认升级完成后，通过#rpm -qa | grep expat 命令进行软件版本查看
确保以下expat相关软件 >= 2.0.1-13.el6_8 (如果系统有安装使用)
expat >= 2.0.1-13.el6_8
expat-devel >= 2.0.1-13.el6_8

CentOS7.x系统：
确认升级完成后，通过#rpm -qa | grep expat 命令进行软件版本查看
确保以下expat相关软件 >= 2.1.0-10.el7_3 (如果系统有安装使用)
expat >= 2.1.0-10.el7_3
expat-devel  >= 2.1.0-10.el7_3
expat-static >= 2.1.0-10.el7_3

Ubuntu/Debian:
apt-get install expat






************************2017年8月发现漏洞4*****************************
漏洞名称：RHSA-2016:2674: libgcrypt security update (Moderate)     对应CVE漏洞：CVE-2016-6313        漏洞等级：中危
标题：GnuPG随机数预测漏洞
简介：漏洞触发在GnuPG的libgcrypt PRNG伪随机数生成器函数，攻击者根据获得PRNG输出的前580字节就可以预测出接下来的20个字节。 影响范围： Libgcrypt < 1.5.6 Libgcrypt 1.6.x < 1.6.6 Libgcrypt 1.7.x < 1.7.3 GnuPG < 1.4.21
修复方案：
更新GnuPG
Centos/RHEL：
yum update gnupg

Ubuntu/Debian：
apt-get install gnupg

第三方gpg工具根据gunpg提供的releases列表更新到最新版：
https://gnupg.org/download/index.html

比如Mac下常用的GPGTools最新版已经fix此漏洞：
https://gpgtools.tenderapp.com/discussions/feedback/1959-announce-security-fixes-for-libgcrypt-and-gnupg-14-cve-2016-6316






************************2017年8月发现漏洞5*****************************
漏洞名称：RHSA-2017:1679: bind security and bug fix update (Important)        漏洞等级：高危
标题：BIND TSIG身份验证漏洞            BIND安全绕过漏洞
简介：BIND是一套开源的用于实现DNS协议的软件。 BIND中存在安全漏洞。攻击者可利用该漏洞获取用户信息。以下版本受到影响：BIND 9.4.0版本至9.8.8版本，9.9.0版本至9.9.10-P1版本，9.10.0版本至9.10.5-P1版本，9.11.0版本至9.11.1-P1版本，9.9.3-S1版本至9.9.10-S2版本，9.10.5-S1版本至9.10.5-S2版本。
修复方案：
--------------- CentOS/RHEL --------------
请参照Redhat安全公告 RHSA-2017:1679 RHSA-2017:1680 了解受到影响的软件包和补丁细节，并对相应的软件包进行升级。
相关链接:
https://access.redhat.com/security/cve/cve-2017-3142

请先确认您已经安装了以下哪些软件包，并只对您已安装的软件包进行升级。
您可以对您不需要的软件包进行移除。例如，当某个软件被报告有漏洞时，如果您不需要它，您可以通过 yum remove 移除这个软件，从而避免相关的安全漏洞。
确认升级完成后，通过相关命令对受影响的软件包进行软件版本查看，确保以下软件版本不再受漏洞影响:

[ CentOS 6.x ]
- 修复命令
yum update 软件包名 -y

- 受影响软件包
bind bind-chroot bind-devel bind-libs bind-sdb bind-utils

- 检测软件版本否已修复
rpm -qa 软件包名

- 修复验证
bind                            >= 9.8.2-0.62.rc1.el6_9.4
bind-chroot                     >= 9.8.2-0.62.rc1.el6_9.4
bind-devel                      >= 9.8.2-0.62.rc1.el6_9.4
bind-libs                       >= 9.8.2-0.62.rc1.el6_9.4
bind-sdb                        >= 9.8.2-0.62.rc1.el6_9.4
bind-utils                      >= 9.8.2-0.62.rc1.el6_9.4


[ CentOS 7.x ]
- 修复命令
yum update 软件包名 -y

- 受影响软件包
bind bind-chroot bind-devel bind-libs bind-libs-lite bind-license
bind-libs-lite-devel bind-pkcs11 bind-pkcs11-devel bind-pkcs11-libs
bind-pkcs11-utils bind-sdb bind-sdb-chroot bind-utils

- 检测软件版本否已修复
rpm -qa 软件包名

- 修复验证
bind                            >= 9.9.4-50.el7_3.1
bind-chroot                     >= 9.9.4-50.el7_3.1
bind-devel                      >= 9.9.4-50.el7_3.1
bind-libs                       >= 9.9.4-50.el7_3.1
bind-libs-lite                  >= 9.9.4-50.el7_3.1
bind-license                    >= 9.9.4-50.el7_3.1
bind-libs-lite-devel            >= 9.9.4-50.el7_3.1
bind-pkcs11                     >= 9.9.4-50.el7_3.1
bind-pkcs11-devel               >= 9.9.4-50.el7_3.1
bind-pkcs11-libs                >= 9.9.4-50.el7_3.1
bind-pkcs11-utils               >= 9.9.4-50.el7_3.1
bind-sdb                        >= 9.9.4-50.el7_3.1
bind-sdb-chroot                 >= 9.9.4-50.el7_3.1
bind-utils                      >= 9.9.4-50.el7_3.1



--------------- Ubuntu -------------------
请参照Ubuntu安全通告 USN-3346-1 了解受到影响的软件包和补丁细节，并对相应的软件包进行升级。
相关链接:
https://usn.ubuntu.com/usn/usn-3346-1/

请先确认您已经安装了以下哪些软件包，并只对您已安装的软件包进行升级。
您可以对您不需要的软件包进行移除。例如，当某个软件被报告有漏洞时，如果您不需要它，您可以通过 apt-get remove 移除这个软件，从而避免相关的安全漏洞。
确认升级完成后，通过相关命令对受影响的软件包进行软件版本查看，确保以下软件版本不再受漏洞影响:

[ Ubuntu 14.04 ]
- 修复命令
apt-get clean && apt-get update
apt-get install --only-upgrade 软件包名

- 受影响软件包
bind9 bind9-utils bind9-host

- 检测软件版本否已修复
dpkg -l 软件包名

- 修复验证
bind9                           >= 9.9.5.dfsg-3ubuntu0.15
bind9-utils                     >= 9.9.5.dfsg-3ubuntu0.15
bind9-host                      >= 9.9.5.dfsg-3ubuntu0.15

[ Ubuntu 16.04 ]
- 修复命令
apt-get clean && apt-get update
apt-get install --only-upgrade 软件包名

- 受影响软件包
bind9 bind9-utils bind9-host

- 检测软件版本否已修复
dpkg -l 软件包名

- 修复验证
bind9                           >= 9.10.3.dfsg.P4-8ubuntu1.7
bind9-utils                     >= 9.10.3.dfsg.P4-8ubuntu1.7
bind9-host                      >= 9.10.3.dfsg.P4-8ubuntu1.7