安全漏洞整改解决方案

注意：以下所有操作須结合实际情况，确认后再实施。
1. OpenSSH 相关漏洞
解决方案

升级OpenSSH为最新版本,目前为5.9,首先到官网(http://www.openssh.com/portable.html#http)下载:openssh-5.9p1.tar.gz

把OpenSSH 上传到服务器，首先检查升级前版本(以下所有操作均在root下完成)：

shell> ssh -V # 此命令会显示OpenSSL、OpenSSH的詳細版本号

首先安装OpenSSH:

shell> tar xvf openssh-5.9p1.tar.gz

shell> cd openssh-5.9p1

shell> sed -i -e ‘s/_5.9//’ version.h

查询信赖包是否安装：

shell> rpm -qa | grep zlib #如果能看到zlib、zlib-devel，请继续，否则安装后再继续。

shell> ./configure –sysconfdir=/etc/ssh

shell> make && make install

开始配置：

shell> /bin/cp /usr/local/sbin/sshd /etc/init.d/sshd

shell> mkdir /root/ssh_bak #创建备份目录

shell> mv /etc/ssh/* /root/ssh_bak/ #移动到备份目录

shell> /bin/cp /usr/local/etc/* /etc/ssh/

shell> sed -e ‘s@/usr/bin/ssh-keygen.*@#@’ /etc/init.d/sshd

shell> /etc/init.d/sshd restart

shell> ssh -V 检查是否是 OpenSSHp1 开头，如果是，则OpenSSH升级成功。

2.
解决方案：


4. Apache Tomcat 相关漏洞 解决方案：
根据安全厂商给的解决方案链接：http://www.ocert.org/advisories/ocert-2011-003.html 从此页面可得知，有问题的Tomcat版本如下：

<= 5.5.34, <= 6.0.34, <= 7.0.22，而无安全漏洞的 Tomcat版本如下： 5.5.35, >= 6.0.35, >= 7.0.23

访问：http://tomcat.apache.org/index.html 下载对应的Tomcat版本，例如经分在使用 Tomcat 5.5.34，下载对应的Tomcat 5.5.35；

如在使用Tomcat 6.0.34，下载对应的 Tomcat 6.0.35，依此类推。

4.1 Apache Tomcat sendfile请求安全限制绕过和拒绝服务漏洞：此漏洞也是通过上面的版本升级方式解决。具体请参考官方解释：
http://tomcat.apache.org/security-5.html#Fixed_in_Apache_Tomcat_5.5.35 和 http://secunia.com/advisories/45232/

5.SNMP服务存在可读口令 解决方案：

可按照漏洞扫描結果中的过程操作，如问困难，可向系统组同事请教。

6. rpc相关漏洞 解决方案：

(和项目组确认没有使用NFS后再操作)

shell> /etc/init.d/portmap stop && chkconfig portmap off

shell> /etc/init.d/rpcidmapd stop && chkconfig rpcidmapd off

shell> /etc/init.d/nfslock stop && chkconfig nfslock off

7.利用SMTP/EXPN命令可猜测目标主机上的用户名 解决方案（待确认）：

8.Oracle数据库服务器CREATE ANY DIRECTORY权限提升漏洞 暂时没有解决方案。

9. SNMP服务可以通过SNMPV1访问 解决方案（待确认）

10. Apache HTTP Server相关漏洞 解决方案：

通过下载使用Apache HTTP Server 2.2.22或以上可解决，详情参考：http://mail-archives.apache.org/mod_mbox/httpd-announce/201201.mbox/browser

此页面显示了2.2.22或以上这个版本修复了哪些安全漏洞。官方下载地址：http://www.apache.org/dyn/closer.cgi

10.1 Apache Apache::Status和Apache2::Status模块跨站脚本漏洞
http://mail-archives.apache.org/mod_mbox/perl-advocacy/200904.mbox/%3Cad28918e0904011458h273a71d4x408f1ed286c9dfbc@mail.gmail.com%3E
10.2 Apache服务器不完整HTTP请求拒绝服务漏洞[精确扫描]:

更改httpd.conf中 TimeOut 的值为30秒

11.远端WWW服务支持TRACE请求 解决方案 请参考第10点。

12.Oracle tnslsnr没有设置口令 解决方案：

扫描报告已经明确写出详细步骤，或DBA自己完成。

13. 猜测出远程FTP服务存在可登录的用户名口令 解决方案：

确认账号的密码复杂性，例如检查是否存在123456 类似这样的密码，如有简单密码，确认后再修改。

14.目标主机showmount -e信息泄露 解决方案：

确认是否有NFS服务在运行，如在运行确认是否关闭，如因有业务影响请在整改报告中明确写出原因（但绝不能外网访问NFS）。

15.检测到远端rlogin服务正在运行中 解决方案：

如果是AIX系统，请在整改报告中明确写出原因（但绝不能外网登录）。

16.远端运行着IDENT服务 解决方案：

漏洞扫描报告中已经有详细的操作步骤。

17.检测到远端rsh服务正在运行中 解决方案：

如果是AIX系统，请在整改报告中明确写出原因（但绝不能外网登录）。

18.检测到远端rexec服务正在运行中 解决方案：

漏洞扫描报告中已经有详细的操作步骤。

19.存在一个可用的远程代理服务器 解决方案待确认。

20.远程web主机存在目录遍历漏洞 解决方案待确认。

21. 远程主机允许匿名FTP登录 解决方案：

修改配置文件，不许出现匿名登录，由于FTP的类型较多，具体的操作步骤可咨询系统组同事。

22.FTP服务器版本信息可被获取 无需整改（因要修改源码重新编译）。

23.远端SSH Server允许使用低版本SSH协议 解决方案：

参考漏洞扫描报告中的操作步骤，或参考第1点直接升级OpenSSH版本（强烈建议）。

24.检测到远端XDMCP服务正在运行中 解决方案：

关闭XDMCP服务

25. PHP相关漏洞 解决方案：

根据http://www.venustech.com.cn/NewsInfo/124/6459.Html 可得知，受影响版本是：

PHP 5.2 <= 5.2.13

PHP 5.3 <= 5.3.2

目前最好的办法是升级PHP版本。官方最新稳定是：PHP 5.3.10。 而5.2.X 最高版本是：PHP 5.2.17

转载自：http://blog.163.com/hlz_2599/blog/static/14237847420126911747599/