麒麟服务器CNNVD漏洞补丁下载

1. 服务器操作系统版本确认

使用nkvers命令确认服务器操作系统版本和CPU架构

# 执行版本确认命令
nkvers

# 输出示例
############# Kylin Linux Version #################
Release: Kylin Linux Advanced Server release V10 (Halberd)
Kernel: 4.19.90-89.11.v2401.ky10.x86_64
系统版本: Kylin Linux Advanced Server release V10 SP3 2403
系统架构: x86_64
构建日期: 2024/04/26
#######################################################

2. 在线仓库修复方案

2.1 仓库配置

服务器系统公网YUM仓库地址: https://update.cs2c.com.cn/NS/V10/

# 查看仓库配置
cat /etc/yum.repos.d/kylin_x86_64.repo  # x86架构
cat /etc/yum.repos.d/kylin_aarch64.repo # arm架构

# 示例配置内容
[ks10-adv-os]
name=Kylin Linux Advanced Server 10 - Os
baseurl=https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/base/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin
enabled=1

[ks10-adv-updates]
name=Kylin Linux Advanced Server 10 - Updates
baseurl=https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin
enabled=1

2.2 升级方法

# 清理缓存并重建
yum clean all 
yum makecache

# 按软件包升级
yum update firefox

# 按CVE号升级
yum update --cve CVE-xxxx-xxxx

3. 离线修复方案

3.1 获取离线升级包

请到本站漏洞补丁表中查找并下载与您系统版本对应的离线升级包

3.2 解压运行脚本修复

# 上传离线升级包至服务器
# 解压下载的升级包
tar -xvf sp3-2403-x86-CNNVD.tar.gz

# 进入解压目录
cd CVE_pkgs

# 运行修复脚本
./fix_CNNVD.sh

# 按提示确认升级
# 脚本将列出所有升级包，按y确认

3.3 按需更新组件

# 进入解压目录
cd CVE_pkgs

# 删除不需要升级的软件包
rm -rf dhcp*

# 重新创建本地仓库
createrepo .

# 再次运行修复脚本
./fix_CNNVD.sh

4. 应急回退方案

4.1 内核回退

# 查看可用的内核
cat /boot/grub2/grub.cfg | grep menuentry

# 设置回退到第二个内核选项
grub2-set-default 1

# 重启系统
reboot

4.2 组件回退

# 查看yum操作历史
yum history

# 回退到指定操作ID
yum history undo 11

5. 升级常见问题

5.1 组件涉及漏洞且有对应服务(如redis)，不开启服务是否涉及漏洞

答：理论上不开启则不受影响。若后续不使用，建议卸载；若将来使用，请升级补丁。

5.2 组件涉及漏洞但无对应服务(如libyaml)，如何判断关联

答：麒麟提供服务器漏洞库依赖检索方案进行判断。

5.3 升级后仍能扫描到漏洞的原因

答：麒麟的版本维护机制与开源社区不同。漏扫工具可能使用社区版本判断，请以麒麟安全公告为准。

附录

相关脚本下载：

# 漏洞检查脚本和批量升级脚本
链接：http://sx.ygwid.cn:802/server-tool/

# 下载后上传至服务器
# 添加执行权限
chmod +x cve_chk.sh update_rpms.sh

麒麟服务器操作系统补丁下载