Centos7服务器同步网络发现漏洞与修复手册（每周更新3次）

期望通过每一次分享，让技术的门槛变低，落地更容易。 —— around

背景

作者公司有8台云服务器，本地有2台物理服务器，并且都联网了。云服务器的安全防护到期了，公司也不太想续费了，遂自己从代码上添加了一系列软件防护，但漏洞是一直再出，谁也无法保障是永远安全，所以本文会持续收录及时的漏洞，并提供命令修复办法。

环境参数

• 操作系统：Centos 7.6、Centos7.9

• 运行环境：Java、Node、Python、Postgresql…

  如果有相同情况，均可参考下面内容做修复

漏洞清单（时间倒序）

2023-11-3

Linux kernel 缓冲区错误漏洞(CVE-2023-35788)

软件: kernel-headers, 版本: 3.10.0-1160.83.1.el7

修复命令
sudo yum update kernel-headers
1
2
3
4

libssh2 缓冲区错误漏洞(CVE-2020-22218)

软件: libssh2, 版本: 1.8.0-4.el7

修复命令
sudo yum update libssh2
1
2
3
4

2023-10-27

ISC BIND 安全漏洞(CVE-2023-2828)

软件: bind-libs-lite, 版本: 32:9.11.4-26.P2.el7_9.13
软件: bind-utils, 版本: 32:9.11.4-26.P2.el7_9.13
软件: bind-export-libs, 版本: 32:9.11.4-26.P2.el7_9.13
软件: bind-license, 版本: 32:9.11.4-26.P2.el7_9.13
软件: bind-libs, 版本: 32:9.11.4-26.P2.el7_9.13

修复命令
sudo yum update bind-libs-lite
sudo yum update bind-utils
sudo yum update bind-export-libs
sudo yum update bind-license
sudo yum update bind-libs
1
2
3
4
5
6
7
8
9
10
11
12

Linux kernel 资源管理错误漏洞(CVE-2023-3609、CVE-2023-35001)

软件: kernel-tools, 版本: 3.10.0-1160.99.1.el7
软件: kernel-devel, 版本: 3.10.0-1160.99.1.el7|3.10.0-1160.71.1.el7|3.10.0-1160.83.1.el7
软件: kernel-tools-libs, 版本: 3.10.0-1160.99.1.el7
软件: bpftool, 版本: 3.10.0-1160.99.1.el7
软件: python-perf, 版本: 3.10.0-1160.99.1.el7
软件: kernel, 版本: 3.10.0-1160.99.1.el7|3.10.0-1160.83.1.el7|3.10.0-1160.71.1.el7

修复命令
sudo yum update kernel-tools
sudo yum update kernel-devel
sudo yum update kernel-tools-libs
sudo yum update bpftool
sudo yum update python-perf
sudo yum update kernel
1
2
3
4
5
6
7
8
9
10
11
12
13
14

Python urllib.parse 安全特性绕过漏洞（CVE-2023-24329）

软件: python-libs, 版本: 2.7.5-92.el7_9
软件: python, 版本: 2.7.5-92.el7_9
软件: python3-libs, 版本: 3.6.8-18.el7
软件: python-devel, 版本: 2.7.5-92.el7_9
软件: python3, 版本: 3.6.8-18.el7

修复命令
sudo yum update python-libs
sudo yum update python
sudo yum update python3-libs
sudo yum update python-devel
sudo yum update python3
1
2
3
4
5
6
7
8
9
10
11
12

grub2 安全漏洞 (CVE-2020-14372、CVE-2020-25632、CVE-2020-25647、CVE-2020-27779、CVE-2021-20233)

软件: grub2-pc, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-common, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-pc-modules, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-tools, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-tools-extra, 版本: 1:2.02-0.87.0.2.el7.centos.11
软件: grub2-tools-minimal, 版本: 1:2.02-0.87.0.2.el7.centos.11

修复命令
sudo yum update grub2-pc
sudo yum update grub2
sudo yum update grub2-common
sudo yum update grub2-pc-modules
sudo yum update grub2-tools
sudo yum update grub2-tools-extra
sudo yum update grub2-tools-minimal
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

OpenSSH 代码问题漏洞(CVE-2023-38408)

软件: openssh-clients, 版本: 7.4p1-22.el7_9
软件: openssh-server, 版本: 7.4p1-22.el7_9
软件: openssh, 版本: 7.4p1-22.el7_9

修复命令
sudo yum update openssh-clients
sudo yum update openssh-server
sudo yum update openssh
1
2
3
4
5
6
7
8

历史

Linux kernel 拒绝服务漏洞(CVE-2022-4378) （CVE-2022-42703）

软件: python-perf, 版本: 3.10.0-1160.83.1.el7

修复命令
sudo yum update python-perf
1
2
3
4

FasterXML jackson-databind 代码问题漏洞（CVE-2022-42003）

jackson-databind-2.11.4.jar
建议受影响客户升级到2.14.0-rc2及以上安全版本，版本获取链接：
https://github.com/FasterXML/jackson-databind

Ehcache 2.X中依赖的FasterXML jackson-databind版本存在漏洞，建议Ehcache 2.X用户及时迁移到Ehcache 3.X最新版，版本获取链接：
https://www.ehcache.org/downloads/
1
2
3
4
5
6

FastJson代码执行漏洞(CVE-2022-25845)

fastjson-1.2.47.jar
目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://github.com/alibaba/fastjson/wiki/security_update_20220523
1
2

Spring Security RegexRequestMatcher 认证绕过漏洞 (CVE-2022-22978)

spring-security-web-5.4.6.jar
目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/spring-projects/spring-security/releases
5.4.x版本使用者建议升级至5.4.11及其以上
5.5.x 版本使用者建议升级至5.5.7及其以上
5.6.x 版本使用者建议升级至5.6.4及其以上
1
2
3
4
5
6

Jackson-databind 拒绝服务漏洞(CVE-2021-46877)

jackson-databind-2.11.4.jar
使用2.12及之前版本的用户，建议将组件 com.fasterxml.jackson.core:jackson-databind 升级至 2.12.6 及以上版本；
使用2.13.x的用户，建议将组件 com.fasterxml.jackson.core:jackson-databind 升级至 2.13.1 及以上版本。

https://github.com/FasterXML/jackson-databind/tags
1
2
3
4
5

Spring Framework 身份认证绕过漏洞(CVE-2023-20860)

spring-webmvc-5.3.24.jar
spring-webmvc-5.3.6.jar
spring-webmvc-5.3.24.jar
厂商已经发布安全修复版本修复该漏洞，参考链接：https://spring.io/security/cve-2023-20860
(1) Spring Framework 5.3.X 系列用户建议升级Spring Framework到5.3.26及以上安全版本修复该漏洞
(2) Spring Framework 6.0.X 系列用户建议升级Spring Framework到6.0.7及以上安全版本修复该漏洞
1
2
3
4
5
6

FasterXML jackson-databind 代码问题漏洞(CVE-2022-42004)

jackson-databind-2.11.4.jar
建议受影响客户升级到最新版本，最新版本版本获取链接：
https://github.com/FasterXML/jackson-databind

Ehcache 2.X中依赖的FasterXML jackson-databind版本存在漏洞，建议Ehcache 2.X用户及时迁移到Ehcache 3.X最新版，版本获取链接：
https://www.ehcache.org/downloads/
1
2
3
4
5
6

Apache Commons Fileupload拒绝服务漏洞(CVE-2023-24998)

commons-fileupload-1.4.jar:1.4
建议受影响的用户升级Apache Commons FileUpload到 1.5 或更高版本，参考链接：https://commons.apache.org/proper/commons-fileupload/download_fileupload.cgi
1
2

Mozilla Firefox 安全漏洞(CVE-2023-0767)

软件: nss, 版本: 3.67.0-4.el7_9
软件: nss-tools, 版本: 3.67.0-4.el7_9
软件: nss-sysinit, 版本: 3.67.0-4.el7_9

修复命令
sudo yum update nss
sudo yum update nss-tools
sudo yum update nss-sysinit
1
2
3
4
5
6
7
8

MIT Kerberos 输入验证错误漏洞(CVE-2022-42898)

软件: libkadm5, 版本: 1.15.1-51.el7_9
软件: krb5-libs, 版本: 1.15.1-51.el7_9
软件: krb5-devel, 版本: 1.15.1-51.el7_9

修复命令
sudo yum update libkadm5
sudo yum update krb5-libs
sudo yum update krb5-devel
1
2
3
4
5
6
7
8

ISC BIND 安全漏洞（CVE-2022-38177）

软件: bind-libs-lite, 版本: 32:9.11.4-26.P2.el7_9.9
软件: bind-license, 版本: 32:9.11.4-26.P2.el7_9.9
软件: bind-utils, 版本: 32:9.11.4-26.P2.el7_9.9
软件: bind-export-libs, 版本: 32:9.11.4-26.P2.el7_9.9
软件: bind-libs, 版本: 32:9.11.4-26.P2.el7_9.9

修复命令
sudo yum update bind-libs-lite
sudo yum update bind-license
sudo yum update bind-utils
sudo yum update bind-export-libs
sudo yum update bind-libs
1
2
3
4
5
6
7
8
9
10
11
12

device-mapper-multipath 安全漏洞（CVE-2022-41974）

软件: kpartx, 版本: 0.4.9-135.el7_9

修复命令
sudo yum update kpartx
1
2
3
4

OpenSSL拒绝服务漏洞（CVE-2023-0286）

软件: openssl, 版本: 1:1.0.2k-25.el7_9
软件: openssl-libs, 版本: 1:1.0.2k-25.el7_9
软件: openssl-devel, 版本: 1:1.0.2k-25.el7_9

修复命令
sudo yum update openssl
sudo yum update openssl-libs
sudo yum update openssl-devel
1
2
3
4
5
6
7
8

Linux kernel 资源管理错误漏洞（CVE-2022-32250、CVE-2022-2964、CVE-2022-4378）

软件: bpftool, 版本: 3.10.0-1160.66.1.el7
软件: kernel-devel, 版本: 3.10.0-1160.62.1.el7|3.10.0-1160.66.1.el7
软件: kernel-tools, 版本: 3.10.0-1160.66.1.el7
软件: python-perf, 版本: 3.10.0-1160.66.1.el7
软件: kernel-tools-libs, 版本: 3.10.0-1160.66.1.el7

修复命令
sudo yum update bpftool
sudo yum update kernel-devel
sudo yum update kernel-tools
sudo yum update python-perf
sudo yum update kernel-tools-libs
1
2
3
4
5
6
7
8
9
10
11
12

Sudo 安全特性绕过漏洞（CVE-2023-22809）

软件: sudo, 版本: 1.8.23-10.el7_9.2

修复命令
sudo yum update sudo
1
2
3
4

SSSD 注入漏洞(CVE-2022-4254)

软件: sssd-client, 版本: 1.16.5-10.el7_9.12
软件: libsss_nss_idmap, 版本: 1.16.5-10.el7_9.12
软件: libsss_idmap, 版本: 1.16.5-10.el7_9.12

修复命令
sudo yum update sssd-client
sudo yum update libsss_nss_idmap
sudo yum update libsss_idmap
1
2
3
4
5
6
7
8

grub2 数字错误漏洞(CVE-2022-28733)

软件: grub2-pc, 版本: 1:2.02-0.87.0.1.el7.centos.9
软件: grub2-tools-minimal, 版本: 1:2.02-0.87.0.1.el7.centos.9
软件: grub2-tools-extra, 版本: 1:2.02-0.87.0.1.el7.centos.9
软件: grub2-tools, 版本: 1:2.02-0.87.0.1.el7.centos.9
软件: grub2-common, 版本: 1:2.02-0.87.0.1.el7.centos.9
软件: grub2-pc-modules, 版本: 1:2.02-0.87.0.1.el7.centos.9
软件: grub2, 版本: 1:2.02-0.87.0.1.el7.centos.9

修复命令
sudo yum update grub2-pc
sudo yum update grub2-tools-minimal
sudo yum update grub2-tools-extra
sudo yum update grub2-tools
sudo yum update grub2-common
sudo yum update grub2-pc-modules
sudo yum update grub2
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

zlib 安全漏洞 (CVE-2022-37434)

软件: zlib, 版本: 1.2.7-20.el7_9
软件: zlib-devel, 版本: 1.2.7-20.el7_9

修复命令
sudo yum update zlib
sudo yum update zlib-devel
1
2
3
4
5
6

Systemd 释放后重用漏洞（CVE-2022-2526）

软件: systemd-libs, 版本: 219-78.el7_9.5
软件: systemd, 版本: 219-78.el7_9.5
软件: systemd-python, 版本: 219-78.el7_9.5
软件: systemd-sysv, 版本: 219-78.el7_9.5
软件: systemd-devel, 版本: 219-78.el7_9.5

修复命令
sudo yum update systemd-libs
sudo yum update systemd
sudo yum update systemd-python
sudo yum update systemd-sysv
sudo yum update systemd-devel
1
2
3
4
5
6
7
8
9
10
11
12

libexpat 代码执行漏洞（CVE-2022-40674）

软件: expat, 版本: 2.1.0-14.el7_9

修复命令
sudo yum update expat
1
2
3
4

ISC BIND 安全漏洞（CVE-2022-38178）

软件: bind-export-libs, 版本: 32:9.11.4-26.P2.el7_9.9
软件: bind-libs, 版本: 32:9.11.4-26.P2.el7_9.9
软件: bind-libs-lite, 版本: 32:9.11.4-26.P2.el7_9.9
软件: bind-license, 版本: 32:9.11.4-26.P2.el7_9.9
软件: bind-utils, 版本: 32:9.11.4-26.P2.el7_9.9

修复命令
sudo yum update bind-export-libs
sudo yum update bind-libs
sudo yum update bind-libs-lite
sudo yum update bind-license
sudo yum update bind-utils
1
2
3
4
5
6
7
8
9
10
11
12