漏洞加固方案

1、 /361.MS15-034/CVE-2015-1635HTTP遠(yuǎn)程代碼執(zhí)行漏洞漏洞清單序號(hào)漏洞信息影響范圍1MS15-034/CVE-2015-1635HTTP遠(yuǎn)程代碼執(zhí)行漏洞Windows6.1-KB3042553-x64.msu加固方案安裝此補(bǔ)丁即可，系統(tǒng)會(huì)重啟回退方案1、控制面板-添加刪除程序，如下圖右鍵刪除程序即可甦口生i;rri*.“瓷詡ft卜缶妁匕賀”in亍n吐1rmi11i11nicFOGFft.NFaa善smL口屮=3Miczn口MDft:nonoH-H.03ltfl-HLrlTDMDft.lfi.Ildlzivi:Msi-kt-tr.、hl-nppl-l-l-廠miecnr

2、71-i?l3fi2s5iJ1HiorIxhhi蟲:=ErD!ZOE-tCorp%PUD口EEBT、4Hicrdeortlr*產(chǎn)=;dmoe*rlOTPD2.*id口Msw: /36加固結(jié)果未加固，需要搭建并行替換系統(tǒng)后方可加固2.Redis未授權(quán)訪問漏洞漏洞清單序號(hào)漏洞信息影響范圍1Redis未授權(quán)訪問漏洞【原理掃描】Redis配置不當(dāng)可直接導(dǎo)致服務(wù)器被控制【原理掃描】411加固方案找到cd/usr/local/etc/中的redis.conf,用vi編輯redis.conf，在redis.conf中找到“requirepa字段，取消注釋并在后面填上需要的密碼即可；需要重啟系統(tǒng)才能生效；注：

3、因?yàn)槭侵鲝脑O(shè)備請(qǐng)聯(lián)系redis搭建人員確認(rèn)加固方案風(fēng)險(xiǎn)回退方案找到cd/usr/local/etc/中的redis.conf,用vi編輯redis.conf,在redis.conf中找到“requirepass”字段，注釋即可；需要重啟系統(tǒng)才能生效注：因?yàn)槭侵鲝脑O(shè)備請(qǐng)聯(lián)系redis搭建人員確認(rèn)加固方案風(fēng)險(xiǎn)加固結(jié)果已經(jīng)加固3.PostgreSQL數(shù)據(jù)庫空密碼漏洞漏洞清單序號(hào)漏洞信息影響范圍1PostgreSQL數(shù)據(jù)庫空密碼漏洞00加固方案如psql的默認(rèn)用戶為postgres,1、使用su-postgres進(jìn)入postgres用戶模式，2、使用psql-l查看用戶，3、使用psql進(jìn)入數(shù)據(jù)庫輸入

4、ALTERUSERpostgresWITHPASSWORD復(fù)雜密碼，再輸入psql進(jìn)入數(shù)據(jù)庫輸入select*frompg_shadow就能看見加過密的密碼了?；赝朔桨溉鏿sql的默認(rèn)用戶為postgres,1、使用su-postgres進(jìn)入postgres用戶模式，2、使用psql-l查看用戶，3、使用psql進(jìn)入數(shù)據(jù)庫輸入ALTERUSERpostgresWITHPASSWORD緊靠的雙引號(hào)啥都不輸入，再輸入psql進(jìn)入數(shù)據(jù)庫輸入select*frompg_shadow就沒有密碼了。加固結(jié)果已經(jīng)加固4.MySQL/MariaDBServer用戶存在弱口令漏洞清單序號(hào)漏洞信息影響范圍1MyS

5、QL/MariaDBServer用戶存在弱口令04064加固方案mysql-urootpasswordmysqlUPDATEuserSETPassword=PASSWORD(new_password)WHEREuser=vulnerable_user;mysqlFLUSHPRIVILEGES?；赝朔桨竚ysql-urootpasswordmysqlUPDATEuserSETPassword=PASSWORD(不設(shè)置密碼)WHEREuser=vulnerable_user;mysqlFLUSHPRIVILEGES。加固結(jié)果已經(jīng)加固5.猜測(cè)出遠(yuǎn)程MySQL數(shù)據(jù)庫服務(wù)存在可登錄的用戶名口令漏洞清單序

6、號(hào)漏洞信息影響范圍1猜測(cè)出遠(yuǎn)程MySQL數(shù)據(jù)庫服務(wù)存在可登錄的用戶名口令04064加固方案登錄mysql服務(wù)器：mysql-uroot-p選擇MySQL數(shù)據(jù)庫mysqlusemysql;修改nmuser密碼mysqlupdateusersetpassword=PASSWORD(“NEWPASSWORD”)whereUser=nmuser;重置權(quán)限mysqlflushprivileges;mysqlquit回退方案1.登錄mysql服務(wù)器：mysql-uroot-p選擇MySQL數(shù)據(jù)庫mysqlusemysql;修改nmuser密碼mysqlupdateusersetpassword=PASSW

7、ORD(“NEWPASSWORD”)whereUser=nmuser;重置權(quán)限mysqlflushprivileges;mysqlquit加固結(jié)果已經(jīng)加固vsftpdFTPServerIs.c遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2011-0762)漏洞清單序號(hào)漏洞信息影響范圍1vsftpdFTPServerls.c遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2011-0762)42加固方案1、下載：軟件名為vsftpd-3.0.2.tar.gz的安裝包2、編譯源代碼：tarxvzfvsftpd-3.0.2.tar.gz（解壓，并進(jìn)入解壓后目錄vsftpd-3.0.2）make /36makeinstall3、安裝配置：c

8、pvsftpd.conf/etccpvsftpd-3.0.2/vsftpd.pam/etc/pam.d/ftp（用戶身份識(shí)別）4、編輯配置：用vi打開vsftpd.conf,默認(rèn)的不用管他了直接在最后一行加上ListenYES（獨(dú)立的VSFTPD服務(wù)器）Anonymous=yes用#注釋掉5、啟動(dòng)服務(wù)：/usr/local/bin/vsftpd&用netstat-tnl查看，如果有21端口證明已經(jīng)安裝配置成功這個(gè)時(shí)候已經(jīng)能用FTP,但不能使用匿名訪問。6、本地用戶名訪問：mkdir/var/ftp /36chownzc/var/ftpchowndmp/var/ftpchownwz/var/ft

9、pchmodog-w/var/ftp這樣就能匿名訪問。如果還不清楚的話可以參考安裝幫助moreINSTALL7、關(guān)閉匿名訪問配置ftp的驗(yàn)證方式#vim/etc/pam.d/vsftpd將其改為：修改主配置文件，關(guān)閉匿名用戶將下面的語句加入即可：Anonymous_enable=no*取消根目錄的寫權(quán)限：#chownrootftp&chmod0555ftp8、開機(jī)自啟動(dòng)chkconfigvsftpd-level3off或者直接修改/etc/xinetd.d/vsftpd文件，把disable=no改成disable=yes就行了！用vi打開、etc/rc.local在里面加入servicexi

10、netdstart(stop)/usr/local/bin/vsftpd&即可?；赝朔桨笍?fù)制原有的vsftpd配置和數(shù)據(jù)到其他的目錄，以便及時(shí)恢復(fù)加固結(jié)果已經(jīng)加固apache漏洞漏洞清單序號(hào)漏洞信息影響范圍1ApacheAPR-utilapr_brigade_split_line函數(shù)遠(yuǎn)程拒絕服務(wù)漏洞Apacheexpatbig2_toUtf8()函數(shù)XML文件解析拒絕服務(wù)漏洞ApacheExpatUTF-8字符XML解析遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2009-3720)ApacheHTTPServermod_proxy反向代理安全限制繞過漏洞ApacheHTTPServerap_pregsub()

11、函數(shù)本地權(quán)限提升漏洞ApacheHTTPServer“httpOnly”Cookie信息泄露漏洞(CVE-2012-0053)ApacheHTTPServerbalancer_handler函數(shù)跨站腳本漏洞ApacheHTTPServerLD_LIBRARY_PATH不安全庫加載任意代碼執(zhí)行漏洞ApacheHTTPServermod_cache和mod_dav模塊遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2010-1452)ApacheHTTPServermodheaders模塊權(quán)限許可和訪問控制漏洞(CVE-2013-5704)25ApacheHTTPServermod_proxyReverse代理模式安全

12、限制繞過漏洞ApacheHTTPServermod_proxy_ajp拒絕服務(wù)漏洞ApacheHTTPServermod_proxy_ajp模塊拒絕服務(wù)漏洞ApacheHTTPServermod_proxy反向代理模式安全限制繞過漏洞ApacheHTTPServermod_status遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2014-0226)ApacheHTTPServerprotocol.c遠(yuǎn)程拒絕服務(wù)漏洞ApacheHTTPServerScoreboard本地安全限制繞過漏洞ApacheHTTPServer多個(gè)拒絕服務(wù)漏洞(CVE-2013-6438)ApacheHTTPServer多個(gè)拒絕服務(wù)漏洞(

13、CVE-2014-0098)ApacheHTTPServer多個(gè)模塊主機(jī)名和URI跨站腳本漏洞(CVE-2012-3499)ApacheHTTPServer日志內(nèi)終端轉(zhuǎn)義序列命令注入漏洞(CVE-2013-1862)ApacheHTTPServer遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2013-1896)ApacheHTTPServer遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0118)ApacheHTTPServer遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0231)Apachemod_proxy_http模塊超時(shí)處理信息泄露漏洞ApachePortableRuntime和HTTPServerfnmatch()棧消

14、耗漏洞(CVE-2011-0419)加固方案一、使用cp或者mv移走/usr/local/apache2文件夾，或者采用其他數(shù)據(jù)備份的方式二、使用rpm-qahttpd查看httpd版本，在使用rpm-qaIgrephttpd顯示httpd相關(guān)文件，接著使用rpm-eXXX刪除顯示的httpd相關(guān)文件和依賴文件1、安裝：按順序依次安裝軟件名的安裝包三、1解壓安裝apr-1.5.2.tar.gztarzxvfapr-1.5.2.tar.gzcdapr-1.5.2./configuremakemakeinstall解壓安裝apr-util-1.5.4.tar.gztarzxvfapr-util-1

15、.5.4.tar.gzcdapr-util-1.5.4./configurewith-apr=/usr/local/aprmakemakeinstall解壓安裝pcre2-10.20.tar.gz /36tarzxvfpcre2-10.20.tar.gzcdpcre2-10.20./configuremakemakeinstall安裝pcre-devel-7.8-7.el6.x86_64.rpmyuminstallpcre-devel-7.8-7.el6.x86_64.rpm解壓安裝httpd-2.4.20.tar.gztarzxvfhttpd-2.4.20.tar.gzcdhttpd-2.4

16、.20./configuremakemakeinstall6啟動(dòng)apache服務(wù)rootlocalhostbin#/usr/local/apache2/bin/apachectlstart /36AH00558:httpd:Couldnotreliablydeterminetheserversfullyqualifieddomainname,usinglocalhost.localdomain.SettheServerNamedirectivegloballytosuppressthismessagehttpd(pid7861)alreadyrunning在瀏覽器輸入會(huì)出現(xiàn)“Itworks!”

17、說明更新成功，然后再根據(jù)前配置配置/apache2/conf/里面的httpd.conf即可回退方案一、使用rpm-qahttpd查看httpd版本，在使用rpm-qaIgrephttpd顯示httpd相關(guān)文件，接著使用rpm-eXXX刪除顯示的httpd相關(guān)文件和依賴文件二、使用cp或者mv把之前備份文件考回/usr/local/文件夾，或者采用其他方式恢復(fù)加固結(jié)果已經(jīng)加固apachetomcat漏洞漏洞清單序號(hào)漏洞信息影響范圍1ApacheTomcatSecurityManager繞過漏洞(CVE-2014-7810)ApacheTomcat安全漏洞(CVE-2014-0227)Apach

18、eTomcat拒絕服務(wù)漏洞(CVE-2014-0230)064加固方案一、使用cp或者mv移走/usr/local/apachetomcat文件夾，或者采用其他數(shù)據(jù)備份的方式1、安裝的安裝包二、1解壓安裝apache-tomcat-6.0.45.tar.gzmvapache-tomcat-6.0.45/usr/local將解壓后的apache-tomcat-6.0.45目錄移動(dòng)到/usr/local目錄，特別說明，一般的安裝文件都放到/usr/local目錄下。cd/usr/local/啟動(dòng)apache-tomcat服務(wù)cdapache-tomcat-6.0.45/binshstartup.s

19、h打開IE瀏覽器，輸入 HYPERLINK :8080 :8080打開tomcat主頁更新成功?；赝朔桨甘褂胏p或者mv把之前備份文件考回/usr/local/文件夾，或者采用其他方式恢復(fù)加固結(jié)果已經(jīng)加固openssh漏洞漏洞清單序號(hào)漏洞信息影響范圍OpenSSHglob表達(dá)式拒絕服務(wù)漏洞(CVE-2010-4755)36OpenSSHJ-PAKE授權(quán)問題漏洞(CVE-2010-4478)3OpensshMaxAuthTries限制繞過漏洞(CVE-2015-5600)1OpenSSHroaming_common.c堆緩沖區(qū)溢出漏洞(CVE-2016-0778)OpenSSHsshdmm_an

20、swer_pam_free_ctx釋放后重利用漏洞(CVE-2015-6564)36OpenSSHsshd權(quán)限許可和訪問控制漏洞(CVE-2015-6565)14OpenSSHx11openhelper()函數(shù)安全限制繞過漏洞(CVE-2015-5352)12OpenSSH拒絕服務(wù)漏洞(CVE-2016-1907)19OpenSSH默認(rèn)服務(wù)器配置拒絕服務(wù)漏洞(CVE-2010-5107)16PortableOpenSSHssh-keysign本地未授權(quán)訪問漏洞130541018090830702311701152110030406436320 /36加固方案第一步準(zhǔn)備安裝包1.1、確定操作系統(tǒng)

21、uname-alsb_release-a(suse)cat/etc/issue(redhat)1.2、將所需安裝包上傳到服務(wù)器zlib-1.2.8.tar.gzopenssl-1.0.1p.tar.gzopenssh-7.2p2.tar.gz相關(guān)下載：、先把所有安裝文件上傳服務(wù)器，再卸載ssh，要不文件上傳非常麻煩，在系統(tǒng)鏡像中找到gcc安裝包一并上傳，大部分make失敗都是gcc未安裝或者安裝不全造成。 /36第二步準(zhǔn)備好其他遠(yuǎn)程方式21、此項(xiàng)可選擇telnet或者vnc來進(jìn)行遠(yuǎn)程操作安裝telnet服務(wù)，telnet安裝rpm包對(duì)應(yīng)操作系統(tǒng)ISO文件里面提取，建議不要跨操作系統(tǒng)版本安裝，減

22、少未知問題。vi/etc/xinetd.d/ekrb5-telnetdisable=yes改成no。servicexinetdrestartvi/etc/securetty加入pts/Opts/1pts/2pts/3vi/etc/pam.d/login文件注釋掉：#authuser_unknown=ignoresuccess=okignore=ignore#auth_err=diedefault=badpam_securetty.so以上步驟保證root用戶可以telnet，保證后續(xù)遠(yuǎn)程配置正常進(jìn)行。第三步程序升級(jí)31、停止SSHD服務(wù)/sbin/servicesshdstop（要確保sshd

23、服務(wù)停止）3.2、備份啟動(dòng)腳本cp/etc/init.d/sshd/root/3.3、卸載系統(tǒng)里原有Opensshrpm-aopenssh/查詢系統(tǒng)原安裝的openssh包，全部卸載。rpm-eopenssh-nodepsrpm-eopenssh-server-nodepsrpm-eopenssh-clients-nodepsrpm-eopenssh-askpass3.4、解壓安裝zlib包：tar-zxvfzlib-1.2.8.tar.gz/首先安裝zlib庫，否則會(huì)報(bào)zlib.c錯(cuò)誤無法進(jìn)行cdzlib-1.2.8./configuremake&makeinstall/yumlist|ge

24、rpzlib先查看是否已經(jīng)安裝，已安裝跳過這一步。無法編譯安裝，嘗試安裝如下yuminstall-ygccg+gcc-c+makeyum-yinstallzlib-devel3.5、解壓安裝openssl包：tar-zxvfopenssl-1.0.1p.tar.gzcdopenssl-1.0.1p./configsharedzlibmakemaketestmakeinstallmv/usr/bin/openssl/usr/bin/openssl.OFFmv/usr/include/openssl/usr/include/openssl.OFF/該步驟可能提示無文件，忽略即可ln-s/usr/l

25、ocal/ssl/bin/openssl/usr/bin/opensslln-s/usr/local/ssl/include/openssl/usr/include/openssl/移走原先系統(tǒng)自帶的openssl,將自己編譯產(chǎn)生的新文件進(jìn)行鏈接。3.6、配置庫文件搜索路徑echo/usr/local/ssl/lib/etc/ld.so.conf/sbin/ldconfig-vopensslversion-aOpenSSL1.0.1s19Mar2015builton:SatMar2104:11:472015platform:linux-x86_64options:bn(64,64)rc4(8x

26、,int)des(idx,cisc,16,int)idea(int)blowfish(idx)compiler:gcc-I.-I.-I./include-fPIC-DOPENSSL_PIC-DZLIB-DOPENSSL_THREADS-D-DHAVE_DLFCN_H-Wa,-noexecstack-m64-DL_ENDIAN-O3-Wall-DOPENSSL_IA32_SSE2-DOPENSSL_BN_ASM_MONT5-DOPENSSL_BN_ASM_GF2m-DSHA1_ASM-DSHA256_ASM-DSHA512_ASM-DMD5_ASM-DBSAES_ASM-DWHIRLPOOL_A

27、SM-DGHASH_ASMOPENSSLDIR:/usr/local/ssl/以上是openssl安裝成功后輸出版本信息3.7、解壓安裝openssh包:先將將/etc/ssh的文件夾備份：mv/etc/ssh/etc/ssh_baktar-zxvfopenssh-7.1p1.tar.gzcdopenssh-7.1p1REENTRANT-DDSO_DLFCN-DOPENSSL_BN_ASM_MONT-DAES_ASM-DVPAES_ASM-with-md5-passwords./configure-prefix=/usr-sysconfdir=/etc/ssh-with-zlib-with-s

28、sl-dir=/usr/local/ssl /36mandir=/usr/share/manmakemakeinstallssh-VOpenSSH_7.Ip2,OpenSSL1.0.Is1Mar20163.8、啟動(dòng)服務(wù)cp-pcontrib/redhat/sshd.init/etc/init.d/sshdcppcontrib/suse/rc.sshd/etc/init.d/sshd/其他版本操作系統(tǒng)具體查看contrib對(duì)應(yīng)目錄和readmeochmod+x/etc/init.d/sshdchkconfigaddsshdcpsshd_config/etc/ssh/sshd_configcpss

29、hd/usr/sbin/sshd3.9、驗(yàn)證是否成功servicesshdstartssh-V0penSSH_7.lpl,OpenSSL1.0.Im19Mar201528/36此時(shí)可以嘗試遠(yuǎn)程ssh進(jìn)去服務(wù)器，如果能連，并查看驗(yàn)證日志信息等確認(rèn)無誤。查看ssh服務(wù)狀態(tài)：/以下配置redhat略有不同，具體情況具體解決。/etc/init.d/sshdstatusCheckingforservicesshdunused狀態(tài)不可用，ssh連接正常。pkillsshd殺掉sshd服務(wù)servicesshdstart啟動(dòng)sshd服務(wù)servicesshdstatusCheckingforservice

30、sshdrunning卸載telnet-serverrpm-telnet-server客戶端連接telnet失敗。vi/etc/ssh/sshd_configPermitRootLoginyes回退方案恢復(fù)之前備份文件至原目錄cp/root/sshd/etc/init.d/加固結(jié)果已經(jīng)加固10.遠(yuǎn)端WWW服務(wù)支持TRACE請(qǐng)求漏洞清單序號(hào)漏洞信息影響范圍1遠(yuǎn)端WWW服務(wù)支持TRACE請(qǐng)求25加固方案1、停止apache服務(wù)rootlocalhostbin#/usr/local/apache2/bin/apachectlstop2、vi/usr/local/apache2/httpd.conf,

31、復(fù)制httpd.conf里面的內(nèi)容2.0.55以上版本的Apache服務(wù)器，可以在httpd.conf的尾部添加：TraceEnableoff-在各虛擬主機(jī)的配置文件里添加如下語句：首先，激活rewrite模塊(去掉符號(hào)#)Mod_RewriteModule啟用Rewrite引擎RewriteEngineon對(duì)Request中的Method字段進(jìn)行匹配：TRACE即以TRACE字符串開頭RewriteCondREQUEST_METHOD八(TRACE|TRACK)定義規(guī)則：對(duì)于所有格式的來源請(qǐng)求，均返回F-Forbidden響應(yīng)RewriteRule.*-F3、啟動(dòng)apacherootloca

32、lhostbin#/usr/local/apache2/bin/apachectlstart回退方案復(fù)制之前備份的內(nèi)容至/usr/local/apache2/httpd.conf中進(jìn)行恢復(fù)即可加固結(jié)果已經(jīng)加固11.Oracle漏洞漏洞清單序號(hào)漏洞信息影響范圍1OracleMySQLServer5.5.19拒絕服務(wù)漏洞OracleMySQLServerDataManipulationLanguage子組件拒絕服務(wù)漏洞(CVE-2013T544)OracleMySQLServerInformationSchema子組件拒絕服務(wù)漏洞(CVE-2013T532)OracleMySQLServerInf

33、ormationSchema子組件拒絕服務(wù)漏洞(CVE-2013-2378)OracleMySQLServerInformationSchema子組件遠(yuǎn)程安全漏洞(CVE20130384)OracleMySQLServerInnoDB子組件拒絕服務(wù)漏洞(CVE-2013-2389)OracleMySQLServerInnoDB子組件遠(yuǎn)程安全漏洞(CVE-2012-0572)OracleMySQLServerOptimizer子組件拒絕服務(wù)漏洞(CVE-2013-3839)OracleMySQLServerServerLocking子組件拒絕服務(wù)漏洞(CVE-2013T521)OracleMyS

34、QLServerServerLocking子組件遠(yuǎn)程安全漏洞(CVE20130383)OracleMySQLServerServerOptimizer子組件拒絕服務(wù)漏洞(CVE-2013-2392)OracleMySQLServerServerOptimizer子組件遠(yuǎn)程安全漏洞(CVE20121705)OracleMySQLServerServerOptimizer子組件遠(yuǎn)程安全漏洞(CVE20130389)OracleMySQLServerServerPartition子組件拒絕服務(wù)漏洞(CVE-2013T555)40304064OracleMySQLServerServerPrivile

35、ges子組件漏洞(CVE-2013T531)OracleMySQLServerServerPrivileges子組件漏洞(CVE-2013-2375)OracleMySQLServerServerReplication子組件本地安全漏洞(CVE-2013-0385)OracleMySQLServerServerReplication子組件遠(yuǎn)程安全漏洞(CVE-2013-0375)OracleMySQLServerServer:InformationSchema子組件拒絕服務(wù)漏洞(CVE-2015-0500)OracleMySQLServerServer:InnoDB:DML拒絕服務(wù)漏洞(CVE

36、-2015-0433)OracleMySQLServerServer:Optimizer子組件拒絕服務(wù)漏洞(CVE-2015-0423)OracleMySQLServerServer:Optimizer子組件拒絕服務(wù)漏洞(CVE-2015-2571)OracleMySQLServerServer:Partition拒絕服務(wù)漏洞(CVE-2015-0438)OracleMySQLServerServer:Security:Privileges子組件拒絕服務(wù)漏洞(CVE-2015-2568)OracleMySQLServerServer子組件拒絕服務(wù)漏洞(CVE-2013T552)OracleMy

37、SQLServerServer子組件遠(yuǎn)程安全漏洞(CVE-2012-0574)OracleMySQLServerServer子組件遠(yuǎn)程安全漏洞(CVE-2012T702)OracleMySQLServer拒絕服務(wù)漏洞(CVE-2014-0412)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2014-0386)OracleMySQLServer遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0401)OracleMySQLServer遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0402)OracleMySQLServer組件安全漏洞(CVE-2013-3802)OracleMySQLServer組件安全

38、漏洞(CVE-2013-3804)OracleMySQLServer組件安全漏洞(CVE-2013-3808)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-0405)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-0439)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-0441)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-0501)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-0503)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-0508)OracleMySQLServer

39、遠(yuǎn)程安全漏洞(CVE-2015-2573)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-2611)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-2617)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4730)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4756)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4772)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4800)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4802)OracleMySQLSe

40、rver遠(yuǎn)程安全漏洞(CVE-2015-4815)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4816)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4826)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4830)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4833)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4858)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4862)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4866)OracleMyS

41、QLServer遠(yuǎn)程安全漏洞(CVE-2015-4870)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4904)OracleMySQLServer遠(yuǎn)程安全漏洞(CVE-2015-4905)OracleMySQLSSL證書驗(yàn)證安全限制繞過漏洞(CVE-2015-3152)OracleMySQL/MariaDBacl_get()和check_grant_db_routine()函數(shù)緩沖區(qū)溢出漏洞MariaDB多個(gè)SQL注入漏洞(CVE-2012-4414)MySQLServer允許匿名用戶進(jìn)行訪問MySQL和MariaDBGeometry查詢拒絕服務(wù)漏洞(CVE-2013-1

42、861)yaSSL不明細(xì)節(jié)緩沖區(qū)溢出漏洞(CVE-2012-0553)yaSSL不明細(xì)節(jié)緩沖區(qū)溢出漏洞(CVE-2013-1492)11.2加固方案一、安裝準(zhǔn)備1、先備份數(shù)據(jù)庫的配置和數(shù)據(jù)2、顯示mysql文件rpm-qaIgrepmysql3、刪除顯示的文件rpmyXXX二、安裝glibc版本的Mysql,不是編譯版的，是直接編譯好的tarzxvfmysql-5.7.13-linux-glibc2.5-x86_64.tar.gzmvmysql-5.7.13-linux-glibc2.5-x86_64.tar.gzcdmysql5.7.13#初始化mysql數(shù)據(jù)庫scripts/mysql_i

43、nstall_dbuser=mysql33/36三.開啟mysqlbin/mysqld_safe-user=mysql四.執(zhí)行安全設(shè)置#bin/mysql_secure_installationNOTE:RUNNINGALLPARTSOFTHISSCRIPTISRECOMMENDEDFORALLMySQLSERVERSINPRODUCTIONUSE!PLEASEREADEACHSTEPCAREFULLY!InordertologintoMySQLtosecureit,wellneedthecurrentpasswordfortherootuser.IfyouvejustinstalledMySQL,andyouhaventsettherootpasswordyet,thepasswordwillbeblank,soyoushouldjustpressenterhere.Entercurrentpasswor