漏洞和补丁

Linux系统漏洞
内核漏洞
工具漏洞--安装包
解决方法
下载安装最新版本的工具包--wget或直接网站下载，然后安装即可

检查Linux系统的Shellshock漏洞

执行命令：
env x='() { :;}; echo vulnerable' bash -c 'echo hello'  
输出：
hello  
表示系统没有漏洞
输出：
vulnerable
hello
表示系统有漏洞

查看bash版本
bash -version
如果bash的版本是3.2.51，就必须要更新了
yum -y update bash

参考文章
https://yq.aliyun.com/ziliao/65936?spm=a2c4e.11155472.0.0.9dbe6162MvHbbE

CentOS发布内核安全补丁：修复Meltdown和Spectre漏洞

Red Hat发现这些由英特尔和AMD开发的处理器代码固件会导致硬件问题
所有32位和64位
CentOS Linux 6系统  安装microcode_ctl-1.17-25.4.el6_9.i686.rpm/microcode_ctl-1.17-25.4.el6_9.x86_64.rpm更新，
CentOS Linux 7系统  安装microcode_ctl-2.1-22.5.el7_4.x86_64.rpm
在完成处理器代码更新之后用户需要重启电脑

存在问题的软件包括
kernel-3.10.0-693.11.6.el7.x86_64.rpm
kernel-abi-whitelists-3.10.0-693.11.6.el7.noarch.rpm
kernel-debug-3.10.0-693.11.6.el7.x86_64.rpm
kernel-debug-devel-3.10.0-693.11.6.el7.x86_64.rpm
kernel-devel-3.10.0-693.11.6.el7.x86_64.rpm
kernel-doc-3.10.0-693.11.6.el7.noarch.rpm

需要更新的软件
kernel-headers-3.10.0-693.11.6.el7.x86_64.rpm
kernel-tools-3.10.0-693.11.6.el7.x86_64.rpm
kernel-tools-libs-3.10.0-693.11.6.el7.x86_64.rpm
kernel-tools-libs-devel-3.10.0-693.11.6.el7.x86_64.rpm
perf-3.10.0-693.11.6.el7.x86_64.rpm
python-perf-3.10.0-693.11.6.el7.x86_64.rpm

两款CPU漏洞

CentOS 6.5系统三个漏洞

1.RHSA-2016:0496: git security update漏洞修复
yum update git
阿里云管理控制台 >> 态势感知 >> 漏洞管理
点击该漏洞右侧的“验证”按钮进行验证，一般情况下都会成功修复
如果成功修复可以在已处理中找到相应漏洞可以看出相应状态为“修复成功”

2.RHSA-2017:0574: gnutls security, bug fix, and enhancement update漏洞修复
CVE-2017-5336（GnuTLS 存在栈缓冲区溢出的漏洞）
CVE-2017-5337（GnuTLS 存在堆缓冲区溢出漏洞）
CVE-2017-5335（GnuTLS 存在基于缓冲区溢出的漏洞）
CVE-2016-8610（OpenSSL 存在远程匿名拒绝服务漏洞）
yum update gnutls

3.RHSA-2018:0008: kernel security update漏洞修复
CVE-2017-5754（CPU 处理器内核存在 Spectre 漏洞）
yum update kernel
yum update kernel-devel
yum update kernel-headers
reboot

内核安全漏洞Dirty Cow

提权漏洞
低权限用户可以利用该漏洞修改只读内存，进而执行任意代码获取 root权限
影响所有 Linux Kernel >= 2.6.22的版本

yum update kernel

Linux内核升级修复系统漏洞（centos7.4）

系统：centos 7.4  64位
内核版本：3.10.0-693.el7.x86_64

Linux内核官网  下载最新稳定版本的内核  https://www.kernel.org/

两种方法
编译安装  编译项完全控制，但是慢
yum安装  快捷方便，成功率高


1.导入key
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
2.安装elrepo的yum源
rpm -Uvh http://www.elrepo.org/elrepo-release-7.0-2.el7.elrepo.noarch.rpm
3.安装内核（默认安装最新稳定版本内核）
yum --enablerepo=elrepo-kernel install kernel-ml-devel kernel-ml
4.查看启动顺序
awk -F\' '$1=='menuentry ' '{print $2}' /etc/grub2.cfg
新的内核版本默认会在最前面，下面将选择系统启动时的内核版本，顺序为 0 
5.选择默认内核版本
grub2-set-default 0
6.重启服务器,使之生效
reboot
7.验证内核版本
uname -a
显示已经是4.16.2的内核了

参考文章
http://www.360doc.com/content/18/0928/09/60205487_790328774.shtml

漏洞详情如下：
软件: 3.10.0-327.36.3.el7
命中: kernel version less than 0:3.10.0-693.el7
路径: /boot/.vmlinuz-3.10.0-327.36.3.el7.x86_64.hmac

解决：
uname -sr  内核版本查询
yum update  内核版本不是最新，需要更新
如果 提示No packages marked for update，表明已经是最新的。
rpm -qa|grep kernel*  查看旧的内核版本
yum remove kernel–3.10.0-327.36.3.el7.x86_64 kernel-3.10.0-514.21.1.el7.x86_64 kernel-devel-3.10.0-514.21.2.el7.x86_64
删除旧的内核版本
reboot  重启系统
控制台验证

yum -y install patch
patch --help

安装补丁包：patch  -p(n)  < [补丁包路径] patch_name
卸载补丁包：patch  -p(n)  -R  < [补丁包路径] patch_name

帮助 man patch

patch -p0       
(“p”指的是路径，后面的数字表示去掉路径的第几部分。0，表示不去掉，为全路径)
patch -p1       
(“p”后面的数字1，表示去掉前第一个路径)

-p1  
代表patchfile中文件名左边目录的层数，顶层目录在不同的机器上有所不同。
要使用这个选项，就要把你的patch放在要被打补丁的目录下，然后在这个目录中运行path -p1 < [patchfile]

-b  或  --backup 　备份每一个原始文件
-B<备份字首字符串>  或  --prefix=<备份字首字符串> 　
设置文件备份时，附加在文件名称前面的字首字符串，该字符串可以是路径名称
-c  或  --context 　把修补数据解译成关联性的差异
-d<工作目录>  或  --directory=<工作目录> 　设置工作目录
-D<标示符号>  或  --ifdef=<标示符号> 　用指定的符号把改变的地方标示出来
-e  或  --ed 　把修补数据解译成ed指令可用的叙述文件 
-E  或  --remove-empty-files 　若修补过后输出的文件其内容是一片空白，则移除该文件
-f  或  --force 　此参数的效果和指定-t参数类似，但会假设修补数据的版本为新版本
-F<监别列数>  或  --fuzz<监别列数> 　设置监别列数的最大值
-g<控制数值>  或  --get=<控制数值> 　设置以RSC或SCCS控制修补作业
-i<修补文件>  或  --input=<修补文件> 　读取指定的修补问家你
-l  或  --ignore-whitespace 　忽略修补数据与输入数据的跳格，空格字符
-n  或  --normal 　把修补数据解译成一般性的差异
-N  或  --forward 　忽略修补的数据较原始文件的版本更旧，或该版本的修补数据已使用过
-o<输出文件>  或  --output=<输出文件> 　设置输出文件的名称，修补过的文件会以该名称存放
-p<剥离层级>  或  --strip=<剥离层级> 　设置欲剥离几层路径名称
-f<拒绝文件>  或  --reject-file=<拒绝文件> 　设置保存拒绝修补相关信息的文件名称，预设的文件名称为.rej
-R  或  --reverse 　假设修补数据是由新旧文件交换位置而产 
-s  或  --quiet  或  --silent 　不显示指令执行过程，除非发生错误
-t  或  --batch 　自动略过错误，不询问任何问题
-T  或  --set-time 　此参数的效果和指定-Z参数类似，但以本地时间为主
-u  或  --unified 　把修补数据解译成一致化的差异
-v  或  --version 　显示版本信息
-V<备份方式>  或  --version-control=<备份方式> 　
    用-b参数备份目标文件后，备份文件的字尾会被加上一个备份字符串
    这个字符串不仅可用-z参数变更，当使用-V参数指定不同备份方式时，也会产生不同字尾的备份字符串
-Y<备份字首字符串>  或  --basename-prefix=--<备份字首字符串> 　
    设置文件备份时，附加在文件基本名称开头的字首字符串
-z<备份字尾字符串>  或  --suffix=<备份字尾字符串> 　
    效果和指定-B参数类似
    差别在于修补作业使用的路径与文件名若为src/linux/fs/super.c，
    加上backup/字符串后，文件super.c会备份于/src/linux/fs/backup目录里
-Z  或  --set-utc 　把修补过的文件更改，存取时间设为UTC
--backup-if-mismatch 　在修补数据不完全吻合，且没有刻意指定要备份文件时，才备份文件
--binary 　以二进制模式读写数据，而不通过标准输出设备
--help 　在线帮助
--nobackup-if-mismatch 　在修补数据不完全吻合，且没有刻意指定要备份文件时，不要备份文件
--verbose 　详细显示指令的执行过程