对近期工作中所经历的4次处理第三方网络安全公司的安全报告及其安全漏洞的经验做一点小结。
1 流程
Stage1 阅读/整理/分类:安全漏洞报告的安全漏洞 (目的:快速了解漏洞规模和分布)
Stage2 粗略评估:处理漏洞所需的紧急程度及大致天数 (目的:任务优先级 / Dealine)
Stage3 研究/修复漏洞。(研究修复漏洞的一般步骤如下:)
(实际情况下,可能稍微复杂一点,很多情况下需大致了解漏洞的原理)
1 确定本漏洞所涉及的: 服务器(node133) / 软件应用(MySQL-3306) / 漏洞组件(yassl)
[含:证明/确定:本漏洞所涉及的软件应用确实依赖了漏洞组件]
2 确定 本漏洞组件的漏洞版本范围:
yassl ≤1.7.5
确定 本漏洞所涉及的软件应用的漏洞版本范围:
MySQL ∈ [5.0, 5.1.22] (信息来源: cvedetail - 2018.10.19)
3 确定本漏洞组件的版本
YaSSL:?
[确定本漏洞所涉及的软件应用:是否使用了漏洞组件?漏洞组件的版本?]
MySQL:?
4 判别:漏洞组件的版本是否在漏洞版本范围内?
5 综上,得出最终解决方案/结论
End over!
Stage4 发布/出具:本轮漏洞修复报告
2 概念篇
- CVE / CNCVE | CVSS | NVD / CNVD / CNNVD
参见另一博文: [网络]公共网络安全漏洞库: CVE / CNCVE - 博客园/千千寰宇
3 常见的处理漏洞方式
- 无需修复:不在漏洞组件的版本范围内
- 不予修复: 修复(升级)带来的风险远高于修复带来的收益
- 升级软件
升级数据库
升级OpenSSH
...
- 加配置
配置HTTP的安全响应头部(X-Frame-Options / X-XSS-Protection / X-Content-Options)
...
- 关闭服务
(关闭掉的服务,并不影响服务器的其它运行服务和用户)