漏洞管理faq云安全中心(SecurityCenter)

云安全中心通过匹配您服务器上的系统软件版本和存在漏洞（CVE漏洞）的软件版本，判断您的服务器是否存在软件漏洞。因此，您可以通过以下方式查看当前软件版本的漏洞信息：

在云安全中心中查看当前软件版本及漏洞信息

在您的服务器上查看当前软件版本信息

您也可以在服务器上直接查看当前软件版本信息：

CentOS和RedHat系统

执行rpm-qa|grepxxx命令查看软件版本信息。其中，xxx为软件包名。例如，执行rpm-qa|grepbind-libs命令查看服务器上的bind-libs软件版本信息。

Ubuntu和Debian系统

执行dpkg-query-W-f'${Package}--${Source}\n'|grepxxx命令查看软件版本信息。其中，xxx为软件包名。例如，执行dpkg-query-W|grepbind-libs命令查看服务器上的bind-libs软件版本信息。

如果显示无法找到该软件包，您可以执行dpkg-query-W查看服务器上安装的所有软件列表。

如果升级后旧版本软件包还有残留信息，这些旧版本信息可能仍会被云安全中心检测收集，并作为漏洞上报。如果确认是由于这种情况触发的漏洞告警，建议您选择忽略该漏洞。您也可以执行yumremove或者apt-getremove命令删除旧版本的软件包。删除前，请务必确认所有业务和应用都不再使用该旧版本软件。

下文以将Ubuntu14.04系统的3.1*内核升级至4.4内核为例，介绍手动升级Ubuntu内核的方法。

执行uname-av命令，确认当前服务器的系统内核版本是否为3.1*。

执行以下命令，查看是否已有最新的内核Kernel更新包。

执行以下命令，进行内核升级。

apt-getupdate&&apt-getinstalllinux-image-4.4.0-94-genericapt-getupdate&&apt-getinstalllinux-image-extra-4.4.0-94-generic更新包安装完成后，重启服务器完成内核加载。

服务器重启后，执行以下命令验证内核升级是否成功。

执行uname-av命令查看当前调用内核。

执行dpkg-l|greplinux-image命令查看当前内核包情况。

如果您修改过GRUB引导菜单的内核选择顺序，在Ubuntu内核的服务器中执行完漏洞一键修复安装新内核后，重启系统时不会启用最新内核。您需要手动配置环境变量，才能重启最新内核。

如果您需要使用新内核默认附带的设置，并丢弃原本的GRUB菜单配置，可在执行漏洞修复命令前在Linux终端设置以下环境变量，使安装系统自动选择默认设置。

Windows服务器：

在云安全中心控制台完成Windows系统漏洞的修复后，您还需要对Windows服务器系统进行重启，漏洞修复才能生效。

所有Windows漏洞修复完成后，都需要执行重启的操作。

Linux服务器：

云安全中心控制台完成Linux内核漏洞修复后，还需要对服务器系统进行重启，漏洞修复才能生效。满足以下任一条件您可以判定漏洞修复后需要重启系统：

您的服务器是Linux系统服务器，并且修复的漏洞为Linux内核漏洞。

由于内核升级比较特殊，可能会存在旧版本内核信息残留的问题。如果确认该漏洞告警是由于旧版本信息残留造成的，您可以选择忽略该漏洞告警，或者在服务器中手动删除旧版本的残留信息。可参考以下步骤进行处理：

确认内核升级完成后，执行uname-av命令和cat/proc/version命令查看当前内核版本，确保当前使用的内核版本已符合漏洞说明命中条件中的要求。

执行cat/etc/grub.conf命令查看配置文件，确认当前已经调用最新的内核版本。

由于Linux系统软件漏洞检测功能主要是通过针对版本进行匹配检测，如果系统中依然存在旧版本的内核rpm安装包，仍将会被云安全中心检测到并进行漏洞告警。您需要确认当前系统中已经没有旧版本rpm安装包残留。如果有，您可以在服务器中对旧版本安装包进行清理。

卸载旧版本安装包前，请务必确认当前系统已经使用新内核。强烈建议您在卸载旧版本内核安装包前，为您的系统创建快照，以便卸载旧版本发生异常情况时对系统进行恢复。

如果由于某些原因不想卸载老版本内核，在您确认系统已经调用新内核后，可以参考如下步骤忽略该系统漏洞告警提醒。

在左侧导航栏，选择风险治理>漏洞管理。

在Linux软件漏洞页签定位到该漏洞，单击漏洞名称进入漏洞详情页面。

漏洞提示无更新说明检测出漏洞的软件目前无官方更新源，无法在云安全中心控制台完成修复，您可以参考下述说明，选择合适的处理方案：

您在对某些漏洞进行更新修复时，可能收到以下提示：

PackagexxxalreadyinstalledandlatestversionNothingtodo或者

NoPackagesmarkedforUpdate这种情况是由于该软件的官网更新源暂时还未提供更新，请您等待官方更新源的更新。

目前已知未更新的软件包包括：

Gnutls

Libnl

MariaDB

您已经更新到了最新的软件包，但仍然无法满足云安全中心管理控制台中报告的软件版本条件。

请检查您的操作系统版本是否在官方的支持范围中。例如，截止到2017年09月01日，官方已经停止对CentOS6.2~6.6、7.1等版本的支持。这种情况下，建议您在云安全中心管理控制台中忽略该漏洞（该漏洞对您服务器的风险可能依然存在），或者升级您的服务器操作系统。

云安全中心支持在控制台修复Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞，应用漏洞和应急漏洞只支持检测，不支持修复。

对于应用漏洞和应急漏洞您需要根据漏洞详情页面的修复建议，手动修复漏洞。修复完成后，在漏洞修复页面，验证该漏洞。

Linux软件漏洞修复按钮为灰色

部分过期的操作系统（厂商已不维护更新，无可适配补丁来修复漏洞）和商业版本的操作系统，需要在服务器中手动升级操作系统，才能修复漏洞。

目前，以下操作系统中的漏洞，需要升级操作系统进行修复。

RedHat5、RedHat6、RedHat7、RedHat8

CentOS5

Ubuntu12

Debian8、9、10

服务器磁盘空间过小、文件权限设置等问题都可能会导致Linux软件漏洞修复失败。您需要先在服务器中手动处理以上问题，才能在云安全中心控制台上修复该服务器上的漏洞。以下是您需要在服务器中手动处理的异常情况：

磁盘空间小于3GB。

处理建议：扩容或清理磁盘后，再次在云安全中心控制台上尝试修复该漏洞。

APT-GET或APT/YUM进程正在运行中。

处理建议：稍后或在服务器中手动结束APT-GET或APT/YUM进程，再次在云安全中心控制台上尝试修复该漏洞。

执行APT、YUM或RPM命令时权限不足。

处理建议：检查并合理管控文件权限，建议将文件权限设置为755，并确保文件所有者为root用户后，再次在云安全中心控制台上尝试修复该漏洞。

将文件权限设置为755表示文件所有者对该文件具有读、写、执行权限，该文件所有者所在用户组及其他用户对该文件具有读和执行权限。

Windows系统漏洞修复按钮为灰色

服务器的磁盘空间过小、WindowsUpdate服务正在运行中等原因都会导致Windows服务器上的漏洞修复失败。服务器出现此类情况时，云安全中心会将漏洞的修复按钮置为灰色。您需要先手动处理服务器的这些问题，才能在云安全中心控制台上修复该服务器上的漏洞。您可以将鼠标移至修复按钮处，查看服务器存在的问题和云安全中心提供的问题处理建议。以下是您需要手动处理的服务器异常情况：

WindowsUpdate服务正在运行中。

处理建议：稍后再操作或手动结束该服务器中的Wusa进程，然后再次在云安全中心控制台上尝试修复该漏洞。

服务器WindowsUpdateService已被禁用。

处理建议：进入该服务器的系统服务管理器，开启WindowsUpdateService后，再次在云安全中心控制台上尝试修复该漏洞。

服务器磁盘空间小于500MB。

在您使用云安全中心修复Linux软件漏洞、Windows系统漏洞时，如果提示漏洞修复失败，请参考以下步骤进行排查和处理：

建议您针对以下表格中的说明，按照从上到下的顺序来排查漏洞修复失败的原因。

问题原因

具体说明

处理方案

漏洞所在的服务器Agent已离线。

Agent离线将导致漏洞修复失败。服务器与云安全中心服务端的网络连接异常、服务器的CPU或内存占用率过高等问题都会导致服务器Agent离线。

漏洞所在的服务器磁盘空间已占满、或内存不足。

处理步骤如下：

增大服务器的存储空间或者清理服务器上已不需要的文件。

确定目标服务器的存储空间够用后，重新在云安全中心控制台修复该漏洞。

对漏洞所在的服务器磁盘文件系统没有读写权限。

如果您没有磁盘文件系统的读写权限，会因为无法成功下载补丁安装包而导致漏洞修复失败。

更改磁盘文件系统的读写权限。

确认权限修改成功后，在云安全中心控制台重新修复该漏洞。

（Linux漏洞）漏洞所在的服务器系统更新源配置存在问题。

由于系统更新源配置问题导致无法安装更新，或YUM软件列表未更新到最新版。

配置服务器系统更新源。您可以根据需要选择以下任一方式进行配置：

选中该配置后，在修复Linux软件漏洞时，云安全中心会为您自动选择阿里云的YUM/APT源修复漏洞，帮助您有效提高漏洞修复的成功率。

将YUM源列表升级到最新版。

在云安全中心控制台重新修复该漏洞。

（Linux漏洞）RPM数据库损坏。

RPM数据库损坏可能会导致更新软件包安装失败，从而导致漏洞修复失败。

执行rm-f/var/lib/rpm/_db.*删除RPM锁文件。

执行rpm-rebuilddb重建RPM数据库。

该命令执行可能耗时较长。

（Windows漏洞）该漏洞前置补丁缺失。

前置补丁缺失会导致漏洞修复失败。

及时安装前置补丁。

安装成功后，重新在云安全中心控制台修复该漏洞。

（Windows漏洞）漏洞所在的服务器WindowsUpdate或WindowsModulesInstaller服务已被禁用。

WindowsUpdate或WindowsModulesInstaller服务被禁用时，您将无法下载漏洞补丁文件，从而导致系统无法更新。

启用WindowsUpdate和WindowsModulesInstaller服务。

（Windows漏洞）漏洞补丁包的下载和安装存在问题。

补丁安装包不存在、补丁安装包不匹配等问题会导致无法下载或安装漏洞补丁文件。

处理方法如下：

补丁安装包不存在

您的服务器可能未正确下载补丁安装文件，您可以尝试重新下载补丁安装包后，再重新执行漏洞修复操作。

补丁安装包不匹配

当前补丁安装包与您的服务器系统不匹配，建议您在进一步确认该补丁安装包的详细信息后，如果该补丁确实与您的服务器系统不匹配，您可以在云安全中心控制台忽略该漏洞。

另外一个补丁正在安装

由于服务器不能同时运行两个补丁安装程序，建议您在当前补丁安装完成后再重新执行漏洞修复操作。

（Windows漏洞）服务器其他问题。

无

在您使用云安全中心漏洞修复功能修复Web-CMS漏洞时，如果提示漏洞修复失败，请参考以下可能原因：

网络连接不正常。

您服务器与云安全中心服务端网络连接不正常，即Agent为离线状态，漏洞将无法修复。

Agent离线将导致漏洞修复失败。服务器与云安全中心服务端的网络连接异常、CPU或内存占用率过高等问题都会导致服务器Agent离线。

漏洞所在的服务器安装了第三方安全软件。

如果您的服务器上安装了安全狗或者其他类似安全防护软件，并且使用这类软件进行过目录权限优化或者相应的设置，可能会导致system账号对www目录及其子目录没有读写权限，导致云安全中心无法进行漏洞修复。

请您确认您目标服务器上的system账号是否对www目录及其子目录有读写权限。如果没有，请手动为system账号添加读写权限。

漏洞文件已不存在。

如果漏洞文件已被删除，云安全中心会提示漏洞修复失败。

根据云安全中心控制台漏洞详情中提供的文件路径，在您的服务器中查看该文件是否已被删除。

如果确认该漏洞文件已被删除，您可以忽略该漏洞告警。

漏洞状态不会自动变化，只有在执行漏洞扫描操作后漏洞状态才会更新。以下是不同云安全中心版本在修复漏洞后仍显示未修复的原因和解决方案。

Linux软件漏洞和Web-CMS漏洞按照控制台中漏洞列表的顺序执行批量修复。修复部分Windows系统漏洞时会需要先安装前置补丁，批量修复Windows系统漏洞时优先修复此类漏洞，其余漏洞按照控制台中漏洞列表顺序执行修复。

修复漏洞时创建快照失败可能是以下原因造成的：

该服务器为非阿里云服务器：非阿里云服务器不支持创建快照修复漏洞。

出现该情况是因为部分漏洞（即Linux内核漏洞）修复后需要重启服务器。请在漏洞详情页面，单击重启。重启完成后，单击验证，显示修复成功则代表该漏洞已修复成功。

服务器客户端离线或关闭时，已检测出的漏洞记录会一直保留在云安全中心管理控制台上。

客户端离线或关闭，系统漏洞的告警3天自动失效，Web-CMS漏洞7天自动失效，应用漏洞的告警30天自动失效，应急漏洞的告警90天自动失效。漏洞失效后，您无法对漏洞执行任何操作，包括修复漏洞或清除漏洞记录。

除非您的云安全中心服务过期后7天内仍未续费，您的云安全中心数据才会被释放并彻底删除。此时，您在云安全中心管理控制台上看不到任何数据。

执行一键修复Windows系统漏洞后，由云安全中心客户端负责安装包的自动下载、安装和清理，无需您进行手动操作。漏洞修复完成超过3天后，如果安装包未被及时清理掉，您可参考以下步骤手动清理漏洞补丁包：

在左侧导航栏，选择系统配置>功能设置。

如果您已开启客户端自保护，在资产中心该服务器的详情页面，关闭客户端自保护开关。

如果您未开启过客户端自保护，请跳过当前步骤，直接执行下一步骤。

客户端自保护会对您服务器客户端目录下的所有进程文件提供默认保护。客户端自保护开启后，您在Windows服务器上对客户端目录下的任何进程文件进行删除或下载操作都会被云安全中心拒绝。

找到漏洞补丁包并手动删除。

补丁包所在的路径为C:\ProgramFiles(x86)\Alibaba\Aegis\globalcfg\hotfix。

（可选）在资产中心该服务器的详情页面，开启客户端自保护。

如果连接阿里云官方Yum源超时，系统会出现类似如下的报错信息：

您可按Ctrl+F5，强制刷新当前浏览器页面。

不会。

修复成功但需要重启才能验证的漏洞其状态为修复成功待重启。您需要在云安全中心控制台执行重启操作，或者自行手动重启服务器。重启完成后，您可以单击验证，确认漏洞是否已被成功修复。

云安全中心会周期性执行漏洞扫描。如果重启后，您未执行验证操作。该类漏洞修复后，云安全中心将检测不到该类漏洞。从第一次检测不到该类漏洞起，控制台会将该类漏洞的信息保存三天（确保非网络或其他原因没有检测到该漏洞），三天后控制台会清除该类漏洞信息。

除非您的云安全中心服务过期7天内仍未续费，您的云安全中心数据才会被释放并彻底删除。此时，您将无法查看应用漏洞数据，其余漏洞的数据将保留。

您可以使用以下方法进行排查，解决该问题：

检查漏洞扫描等级

执行如下步骤，检查漏洞扫描等级。

在漏洞管理页面右上角，单击漏洞管理设置。

在漏洞管理设置面板，查看漏洞扫描等级选中的等级。

如果对应的扫描等级没有选中，则相应等级的漏洞数据不会自动更新。您可以根据需要选择对应的扫描等级。

云安全中心客户端离线

当通过云安全中心进行漏洞回滚操作失败时，您可以参考下述内容操作。

确认您服务器上该漏洞的快照文件是否已过期被删除。

支持。

应用漏洞为企业版和旗舰版功能，免费版、防病毒版和高级版不支持。免费版、防病毒版和高级版用户需先升级到企业版，才可使用应用漏洞功能。

云安全中心的应用漏洞检测是以进程为单位进行的，有多少进程就会检测出对应数量的应用漏洞；如果服务器上存在包含应用漏洞的软件，但没有对应进程的运行，就不会检测出应用漏洞。

应急漏洞检测是通过初步检测漏洞原理确认是否存在漏洞。云安全中心会发送1~2个TCP网络请求报文至您的所有ECS或SLB等IP地址，但不会执行任何实际上的黑客行为。云安全中心应急漏洞检测功能上线前都经过了大规模百万IP数量级的测试，具有很高的稳定性和可靠性。但是测试无法完全覆盖未知风险，可能会存在未知风险。例如会存在由于某些网站业务逻辑脆弱（1~2个TCP请求会导致服务器宕机）对业务系统造成风险。

Fastjson漏洞的检测依赖JAR包运行态是否加载，Webserver对于JAR包的加载分为动态加载和静态加载。动态加载模式下，Fastjson漏洞只有在JAR包运行时才能被检测出来，所以每个时段检测结果会存在差异。建议您针对Fastjson漏洞进行多次检测，提升检测结果的准确度。

云安全中心支持漏洞扫描和修复，覆盖的漏洞类型包括：Linux软件漏洞、Windows系统漏洞、Web-CMS漏洞、应急漏洞、应用漏洞。以下表格展示了各类型漏洞默认的扫描周期。

漏洞类型

免费版

防病毒版

高级版

企业版

旗舰版

Linux软件漏洞

每隔一天自动扫描一次

每隔一天扫描一次

每天自动扫描一次

Windows系统漏洞

Web-CMS漏洞

应用漏洞

不支持扫描

每周自动扫描一次（支持修改自动扫描周期）

应急漏洞

不扫描

不扫描（支持设置扫描周期进行周期性扫描）

是的，漏洞扫描会扫描系统漏洞（服务器上系统层级漏洞）和Web漏洞（应用层漏洞）。