Centos7服务器同步网络发现漏洞与修复手册(每周更新3次)_cve-2024-2828

avatar
作者
猴君
阅读量:1

背景

作者公司有8台云服务器,本地有2台物理服务器,并且都联网了。云服务器的安全防护到期了,公司也不太想续费了,遂自己从代码上添加了一系列软件防护,但漏洞是一直再出,谁也无法保障是永远安全,所以本文会持续收录及时的漏洞,并提供命令修复办法。

环境参数

  • 操作系统:Centos 7.6、Centos7.9
  • 运行环境:Java、Node、Python、Postgresql…

如果有相同情况,均可参考下面内容做修复

漏洞清单(时间倒序)

2023-11-3
Linux kernel 缓冲区错误漏洞(CVE-2023-35788)

软件: kernel-headers, 版本: 3.10.0-1160.83.1.el7

修复命令
sudo yum update kernel-headers

libssh2 缓冲区错误漏洞(CVE-2020-22218)

软件: libssh2, 版本: 1.8.0-4.el7

修复命令
sudo yum update libssh2

2023-10-27
ISC BIND 安全漏洞(CVE-2023-2828)

软件: bind-libs-lite, 版本: 32:9.11.4-26.P2.el7_9.13
软件: bind-utils, 版本: 32:9.11.4-26.P2.el7_9.13
软件: bind-export-libs, 版本: 32:9.11.4-26.P2.el7_9.13
软件: bind-license, 版本: 32:9.11.4-26.P2.el7_9.13
软件: bind-libs, 版本: 32:9.11.4-26.P2.el7_9.13

修复命令
sudo yum update bind-libs-lite
sudo yum update bind-utils
sudo yum update bind-export-libs
sudo yum update bind-license
sudo yum update bind-libs

Linux kernel 资源管理错误漏洞(CVE-2023-3609、CVE-2023-35001)

软件: kernel-tools, 版本: 3.10.0-1160.99.1.el7
软件: kernel-devel, 版本: 3.10.0-1160.99.1.el7|3.10.0-1160.71.1.el7|3.10.0-1160.83.1.el7
软件: kernel-tools-libs, 版本: 3.10.0-1160.99.1.el7
软件: bpftool, 版本: 3.10.0-1160.99.1.el7
软件: python-perf, 版本: 3.10.0-1160.99.1.el7
软件: kernel, 版本: 3.10.0-1160.99.1.el7|3.10.0-1160.83.1.el7|3.10.0-1160.71.1.el7

修复命令
sudo yum update kernel-tools
sudo yum update kernel-devel
sudo yum update kernel-tools-libs
sudo yum update bpftool
sudo yum update python-perf
sudo yum update kernel

Python urllib.parse 安全特性绕过漏洞(CVE-2023-24329)

软件: python-libs, 版本: 2.7.5-92.el7_9
软件: python, 版本: 2.7.5-92.el7_9
软件: python3-libs, 版本: 3.6.8-18.el7
软件: python-devel, 版本: 2.7.5-92.el7_9
软件: python3, 版本: 3.6.8-18.el7

修复命令
sudo yum update python-libs
sudo yum update python
sudo yum update python3-libs
sudo yum update python-devel
sudo yum update python3

grub2 安全漏洞 (CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27779、CVE-2021-20233)

软件: grub2-pc, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-common, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-pc-modules, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-tools, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-tools-extra, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-tools-minimal, 版本: 1:2.02-0.87.0.2.el7.centos.11

修复命令
sudo yum update grub2-pc
sudo yum update grub2
sudo yum update grub2-common
sudo yum update grub2-pc-modules
sudo yum update grub2-tools
sudo yum update grub2-tools-extra
sudo yum update grub2-tools-minimal

OpenSSH 代码问题漏洞(CVE-2023-38408)

软件: openssh-clients, 版本: 7.4p1-22.el7_9
软件: openssh-server, 版本: 7.4p1-22.el7_9
软件: openssh, 版本: 7.4p1-22.el7_9

修复命令
sudo yum update openssh-clients
sudo yum update openssh-server
sudo yum update openssh

历史
Linux kernel 拒绝服务漏洞(CVE-2022-4378) (CVE-2022-42703)

软件: python-perf, 版本: 3.10.0-1160.83.1.el7

修复命令
sudo yum update python-perf

FasterXML jackson-databind 代码问题漏洞(CVE-2022-42003)

jackson-databind-2.11.4.jar
建议受影响客户升级到2.14.0-rc2及以上安全版本,版本获取链接:
https://github.com/FasterXML/jackson-databind

Ehcache 2.X中依赖的FasterXML jackson-databind版本存在漏洞,建议Ehcache 2.X用户及时迁移到Ehcache 3.X最新版,版本获取链接:
https://www.ehcache.org/downloads/

FastJson代码执行漏洞(CVE-2022-25845)

fastjson-1.2.47.jar
目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://github.com/alibaba/fastjson/wiki/security_update_20220523

Spring Security RegexRequestMatcher 认证绕过漏洞 (CVE-2022-22978)

spring-security-web-5.4.6.jar
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/spring-projects/spring-security/releases
5.4.x版本使用者建议升级至5.4.11及其以上
5.5.x 版本使用者建议升级至5.5.7及其以上
5.6.x 版本使用者建议升级至5.6.4及其以上

Jackson-databind 拒绝服务漏洞(CVE-2021-46877)

jackson-databind-2.11.4.jar
使用2.12及之前版本的用户,建议将组件 com.fasterxml.jackson.core:jackson-databind 升级至 2.12.6 及以上版本;
使用2.13.x的用户,建议将组件 com.fasterxml.jackson.core:jackson-databind 升级至 2.13.1 及以上版本。

https://github.com/FasterXML/jackson-databind/tags

Spring Framework 身份认证绕过漏洞(CVE-2023-20860)

spring-webmvc-5.3.24.jar
spring-webmvc-5.3.6.jar
spring-webmvc-5.3.24.jar
厂商已经发布安全修复版本修复该漏洞,参考链接:https://spring.io/security/cve-2023-20860
(1) Spring Framework 5.3.X 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞
(2) Spring Framework 6.0.X 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞

FasterXML jackson-databind 代码问题漏洞(CVE-2022-42004)

jackson-databind-2.11.4.jar
建议受影响客户升级到最新版本,最新版本版本获取链接:
https://github.com/FasterXML/jackson-databind

Ehcache 2.X中依赖的FasterXML jackson-databind版本存在漏洞,建议Ehcache 2.X用户及时迁移到Ehcache 3.X最新版,版本获取链接:

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

img-HX1bvwey-1712649055698)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
[外链图片转存中…(img-Pz6ETPzh-1712649055699)]

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!