前两天宝塔面板升级到Linux正式版 8.0.2后,在宝塔面板后台首页概览的“安全风险”中出现了28项,点击这个数字即可打开“安全风险”对话框,可以看到风险项28、无风险项49、已忽略项1。像出现这种歌情况应该怎么办呢?特别是风险项中出现“高危”等级的,boke112百科建议大家及时修复。
如果你使用的是宝塔面板企业版,那么可以点击【一键修复】按钮来实现已经修复所有风险项。
如果不是宝塔面板企业版,那么我们就需要手动去修复了。点击“风险项”的“查看详情”即可看到具体的风险项内容。如boke112百科这次有28个风险项,其中高危有3个,中危25个(中危一般不用理会,若能全部修改也挺好)。
一、immer_project immer 动态确定对象属性修改的控制不恰当
漏洞编号:CVE-2021-3757
风险等级:高危
涉及软件:kernel : xxxxxx
解决方案:建议您更新当前系统或软件至最新版,完成漏洞的修复。
二、e-learning_system_project e-learning_system sql命令中使用的特殊元素转义处理不恰当(sql注入)
漏洞编号:CVE-2021-3239
风险等级:高危
涉及软件:kernel : xxxxxx
解决方案:建议您更新当前系统或软件至最新版,完成漏洞的修复。
三、polkit pkexec 本地提权漏洞(CVE-2021-4034)
漏洞编号:CVE-2021-4034
风险等级:高危
涉及软件:polkit : xxxxxx
解决方案:
1、无法升级软件修复包的,可使用以下命令删除pkexec的SUID-bit权限来规避漏洞风险:chmod 0755 /usr/bin/pkexec
示例:
# ll /usr/bin/pkexec-rwsr-xr-x 1 root root /usr/bin/pkexec
# chmod 0755 /usr/bin/pkexec
# ll /usr/bin/pkexec-rwxr-xr-x 1 root root /usr/bin/pkexec
执行前权限一般为-rwsr-xr-x ,删除SUID-bit权限后一般为-rwxr-xr-x
2、CentOS 7的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复),Centos 5、6、8官方已终止生命周期 (EOL)维护,建议停止使用;
3、RedHat用户建议联系红帽官方获取安全修复源后执行yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);
4、Alibaba Cloud Linux的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);
5、Anolis OS(龙蜥)的用户可通过yum update polkit升级修复(云安全中心Linux软件漏洞已支持检测修复);
6、Ubuntu 18.04 LTS、Ubuntu 20.04 LTS的用户可通过apt update policykit-1升级修复,Ubuntu 14.04、16.04、12.04官方已终止生命周期 (EOL)维护,修复需要额外付费购买Ubuntu ESM(扩展安全维护)服务,建议停止使用;
7、其他Linux发行版操作系统OS建议联系官方寻求软件包修复源。
四、如何修复高危风险项
boke112百科这次遇到的高危风险项有3个,其实就是两个,一个涉及到kernel,另一个涉及到polkit。而解决方案宝塔面板已经给出了,就是:建议您更新当前系统或软件至最新版,完成漏洞的修复。所以我们只需要更新kernel和polkit到最新版即可解决问题。
1、连接到服务器
可通过第三方软件PuTTy,也可以使用宝塔面板终端,也可以在腾讯云控制台直接登录。这里boke112百科选择直接使用宝塔面板后台的终端快速连接登录到服务器。
2、更新kernel到最新版
输入以下命令并回车:
yum update kernel
输入y并按回车键
最后出现Complete!即表示成功升级到最新版本。
3、更新polkit到最新版
输入以下命令并回车:
yum update polkit
输入y并按回车键,最后出现Complete!即表示成功升级到最新版本。
4、重启服务器
我们可以选择通过控制台重启服务器,也可以选择输入Linux命令来重启服务器,这里boke112百科选择输入命令,直接在宝塔面板终端输入以下命令即可重启服务器:
reboot