漏洞修复系列：一些服务器常见漏洞的修复方法

一些服务器常见漏洞的修复方法

一些服务器常见漏洞的修复方法漏洞名称解释Apache漏洞——卸载Apache2（可能不适用于大家）CVE-2020-15778——禁用SCPCVE-2020-15778和CVE-2021-41617——升级opensslCVE-2021-41617——升级opensshCVE-2018-19052和CVE-2019-11072——升级lighttpdCVE-2021-23017——卸载nginx（可能不适用于大家）CVE-2021-21703、CVE-2021-21708、CVE-2022-31626、CVE-2022-31625——升级PHP

一些服务器常见漏洞的修复方法

漏洞名称解释

lighttpd mod_alias_physical_handler’函数路径遍历漏洞(CVE-2018-19052)

lighttpd 输入验证错误漏洞(CVE-2019-11072)

OpenSSH 操作系统命令注入漏洞(CVE-2020-15778)

OpenSSH 安全漏洞(CVE-2021-41617)

Nginx DNS解析程序漏洞(CVE-2021-23017)

PHP 缓冲区错误漏洞(CVE-2021-21703)

PHP 资源管理错误漏洞(CVE-2021-21708)

PHP 安全漏洞(CVE-2022-31626)

PHP 安全漏洞(CVE-2022-31625)

Apache漏洞——卸载Apache2（可能不适用于大家）

sudo apt-get --purge remove apache2

sudo apt-get --purge remove apache2.2-common

sudo apt-get autoremove

sudo find /etc -name "*apache*" -exec rm -rf {} \;

sudo rm -rf /var/www

CVE-2020-15778——禁用SCP

sudo mv /usr/bin/scp /usr/bin/no_use_scp

CVE-2020-15778和CVE-2021-41617——升级openssl

cd ~

wget https://www.openssl.org/source/openssl-1.1.1q.tar.gz

tar xzvf openssl-1.1.1q.tar.gz

rmopenssl-1.1.1q.tar.gz

cd openssl-1.1.1q

./config --prefix=/usr/local/openssl

make -j12

sudo make install

sudo mv /usr/bin/openssl /usr/bin/openssl.bak

sudo ln -sf /usr/local/openssl/bin/openssl /usr/bin/openssl

which openssl

rm /home/sxf/anaconda3/bin/openssl # 视情况

sudo vim /etc/ld.so.conf

追加：/usr/local/openssl/lib

sudo ldconfig -v

openssl version

CVE-2021-41617——升级openssh

官方已修复该漏洞

cd ~

wget https://www.zlib.net/zlib-1.2.12.tar.gz

tar zxvf zlib-1.2.12.tar.gz

rm zlib-1.2.12.tar.gz

cd zlib-1.2.12/

./configure --prefix=/usr/local/zlib

make -j12

sudo make install

cd ~

sudo apt install libzip-dev libssl-dev autoconf gcc libxml2 make -y

wget https://fastly.cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.0p1.tar.gz

tar zxvf openssh-9.0p1.tar.gz

rm openssh-9.0p1.tar.gz

cd openssh-9.0p1

./configure --prefix=/usr/bin/openssh --with-zlib=/usr/local/zlib --with-ssl-dir=/usr/local/ssl

make -j12

sudo make install

sudo mv /usr/bin/ssh /usr/bin/ssh.bk

sudo mv /usr/bin/openssh/bin/* /usr/bin/

sudo mv /usr/bin/scp /usr/bin/no_use_scp

sudo ldconfig

ssh -V

CVE-2018-19052和CVE-2019-11072——升级lighttpd

官方已修复该漏洞

sudo apt install -y gcc libpcre2-dev libpcre3 libpcre3-dev zlib1g-dev checkinstall libssl-dev

cd ~

wget https://download.lighttpd.net/lighttpd/releases-1.4.x/lighttpd-1.4.66.tar.gz

tar zxvf lighttpd-1.4.66.tar.gz

rm lighttpd-1.4.66.tar.gz

cd lighttpd-1.4.66

./configure --with-openssl --sbindir=/usr/sbin

make -j12

sudo make install

sudo service lighttpd restart

CVE-2021-23017——卸载nginx（可能不适用于大家）

将残留卸载干净

dpkg --get-selections|grep nginx

sudo apt-get --purge remove nginx -y

sudo apt-get --purge remove nginx-common -y

sudo apt-get --purge remove nginx-core -y

CVE-2021-21703、CVE-2021-21708、CVE-2022-31626、CVE-2022-31625——升级PHP

官方8.1.7版本已修复该漏洞。原本装的PHP7，现在升级到8，升级后漏洞虽然得到修复，但对于服务器现有web环境的影响，还需要进一步检测。

sudo apt install software-properties-common

sudo add-apt-repository ppa:ondrej/php

sudo apt update

sudo apt install php8.1

sudo apt install php8.1-fpm

小锋学长生活大爆炸

一些服务器常见漏洞的修复方法