麒麟服务器操作系统漏洞补丁及修复方案
| CNNVD编号 | 漏洞名称 | 危害等级 | 服务器版本 | 小版本号 | 架构 | 上架时间 | 修复建议 | 下载链接 |
|---|
# 执行版本确认命令
nkvers
# 输出示例
############# Kylin Linux Version #################
Release: Kylin Linux Advanced Server release V10 (Halberd)
Kernel: 4.19.90-89.11.v2401.ky10.x86_64
系统版本: Kylin Linux Advanced Server release V10 SP3 2403
系统架构: x86_64
构建日期: 2024/04/26
#######################################################
# 查看仓库配置
cat /etc/yum.repos.d/kylin_x86_64.repo # x86架构
cat /etc/yum.repos.d/kylin_aarch64.repo # arm架构
# 示例配置内容
[ks10-adv-os]
name=Kylin Linux Advanced Server 10 - Os
baseurl=https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/base/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin
enabled=1
[ks10-adv-updates]
name=Kylin Linux Advanced Server 10 - Updates
baseurl=https://update.cs2c.com.cn/NS/V10/V10SP3-2403/os/adv/lic/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kylin
enabled=1
# 清理缓存并重建
yum clean all
yum makecache
# 按软件包升级
yum update firefox
# 按CVE号升级
yum update --cve CVE-xxxx-xxxx
# 基于漏洞检查结果批量升级
./update_rpms.sh /tmp/localhost_cve_chk_result_20250624-205320.csv
# 上传离线升级包至服务器
# 解压下载的升级包
tar -xvf sp3-2403-x86-CNNVD.tar.gz
# 进入解压目录
cd CVE_pkgs
# 运行修复脚本
./fix_CNNVD.sh
# 按提示确认升级
# 脚本将列出所有升级包,按y确认
# 进入解压目录
cd CVE_pkgs
# 删除不需要升级的软件包
rm -rf dhcp*
# 重新创建本地仓库
createrepo .
# 再次运行修复脚本
./fix_CNNVD.sh
# 查看可用的内核
cat /boot/grub2/grub.cfg | grep menuentry
# 设置回退到第二个内核选项
grub2-set-default 1
# 重启系统
reboot
# 查看yum操作历史
yum history
# 回退到指定操作ID
yum history undo 11
5.1 组件涉及漏洞且有对应服务(如redis),不开启服务是否涉及漏洞?
答:理论上不开启则不受影响。若后续不使用,建议卸载;若将来使用,请升级补丁。
5.2 组件涉及漏洞但无对应服务(如libyaml),如何判断关联?
答:麒麟提供服务器漏洞库依赖检索方案进行判断。
5.3 升级后仍能扫描到漏洞的原因?
答:麒麟的版本维护机制与开源社区不同。漏扫工具可能使用社区版本判断,请以麒麟安全公告为准。
升级后漏扫工具仍显示漏洞,请按顺序检查:
6.1 漏扫工具是否更新漏洞库
# 检查漏扫工具的漏洞库更新时间
# 确保已更新至最新版本
6.2 是否执行登录扫描
# 确认扫描方式为登录扫描
# 非登录扫描可能导致误报
6.3 扫描报告是否提供解决方案
6.4 是否根据白名单过滤
相关脚本下载:
# 漏洞检查脚本和批量升级脚本
链接:http://sx.ygwid.cn:802/server-tool/
# 下载后上传至服务器
# 添加执行权限
chmod +x cve_chk.sh update_rpms.sh
漏扫工具用户手册: