Centos修复CVE漏洞,快速检测CVE漏洞是否修复的方法

      最近在做公司云平台安全漏洞修复项目,主要负责kernel的漏洞修复,kernel使用3.10.0-1062.el7.x86_64,使用绿盟安全扫描仪扫描平台漏洞。

1.漏洞扫描结果

Centos修复CVE漏洞,快速检测CVE漏洞是否修复的方法_第1张图片

2.kernel漏洞列表

Centos修复CVE漏洞,快速检测CVE漏洞是否修复的方法_第2张图片

打开一个漏洞扫描结果,里面会给出相应修复方法的链接,打开链接https://lists.centos.org/pipermail/centos-announce/2019-July/023374.html

Centos修复CVE漏洞,快速检测CVE漏洞是否修复的方法_第3张图片

Centos修复CVE漏洞,快速检测CVE漏洞是否修复的方法_第4张图片

     上述图片中给出该漏洞在3.10.0-957.27.2版本已经被修复,我们需要对比被扫描主机上的kernel版本是否高于官方给出版本,以及rpm包的数量是否与官方给出的一致,有关CVE漏洞修复其实很傻瓜,主要是升级对应包的版本,几乎没有技术含量。对于存在很多kernel CVE漏洞的时候,我们常规的做法是将所有漏洞修复完成后,再次使用漏洞扫描仪,这种方法比较低效,这推荐一种简单高效的方法:使用rpm --changelog 属性检测CVE漏洞是否被修复。

(1)登陆漏洞已修复的主机

    # rpm -q --changelog kernel |  grep CVE-2019-11811

  说明该漏洞已经被修复,依次执行该命令搜索所有CVE编号直至完成

(2)使用漏洞扫描仪重新扫描主机

Centos修复CVE漏洞,快速检测CVE漏洞是否修复的方法_第5张图片

 

你可能感兴趣的:(linux,程序人生,linux-内核编译)