2023年3月星瀚系统加固实录

最近又开两会了。每年3月份都是运维同学忙的时间，后面很多系统排队加固，我就上周完成的一个客户加固过程分享给大家：

客户是星瀚5.011私有云部署，前期做了漏洞扫描并提供了漏洞清单。具体要求是指定时间内完成漏洞修复。

首先。客户提供的分析报告，它分成【应用风险漏洞】、【linux系统风险】两大类，跟等保安全认证比起来其实还缺少安全制度和数据库安全和网络安全监测等项目，说明这次加固任务并不是很多，我将之前实施同学发给总部的反馈资料进行整理，实际行动分开进行。

此次工作的难点在于客户没有测试环境，所以首先与客户沟通进行了环境快照，星瀚的服务器通常会大于3台，首先辨别出需要安装补丁的是哪几台，然后再安排快照即可。本次更新仅需要将容器服务和中间件服务的4台机器进行快照即可。

快照完成后，便根据风险排名由小至大进行加固，每步加固完成后尽量都进行初步业务验证。

-------------------------------------------------------------

Logback 远程代码执行漏洞(CVE-2021-42550) 对应策略 更新mservice镜像，从官网下载补丁后更新容器镜像重启容器

--------------------------------------------------------------

Apache Hadoop 命令注入漏洞(CVE-2022-25168)

Apache Commons Collections 反序列化漏洞 对应策略 更新fileserver镜像，从官网下载补丁后更新容器镜像重启容器

--------------------------------------------------------------

PostgreSQL JDBC Driver SQL注入漏洞(CVE-2022-31197) 对应策略 从应用仓库cosmic/trd的trd-drivers.zip文件中删除postgresql-42.2.16.jar

---------------------------------------------------------------

PostgreSQL JDBC Driver 远程代码执行漏洞(CVE-2022-21724) 对应策略 从应用仓库cosmic/trd的trd-drivers.zip文件中删除postgresql-42.2.16.jar

----------------------------------------------------------------

Apache Hadoop 命令注入漏洞(CVE-2022-25168) 对应策略 从应用仓库cosmic/trd的trd-legacy.zip文件中删除hadoop-common-2.10.1.jar（实际修改cosmic/trd的trd-drivers.zip）

-------------------------------------------------------------------

以上步骤对对应应用风险漏洞的内容，风险较少，注意随时备份，大致耗时3小时。

下面继续处理苍穹平台的漏洞，主要就是更新各类中间件的工作，稍微分析了一下，log4j步骤比较复杂放在最后，先处理其他几个中间件。

------------------------------------------------

Logback 远程代码执行漏洞(CVE-2021-42550)

Shiro 权限绕过漏洞(CVE-2021-41303)

Shiro 身份认证绕过漏洞(CVE-2022-32532)

Shiro 身份认证绕过漏洞(CVE-2022-40664) 对应策略 下载官网mdd包进行升级（就是升级多维数据库，比较简单）

----------------------------------------------------

Nginx DNS解析漏洞(CVE-2021-23017) 对应策略 升级nginx（需要重启，很快）

----------------------------------------------------

Redis 整数溢出漏洞(CVE-2021-32762) 对应策略 升级redis（需要重启，业务稍微断一下）

----------------------------------------------------

Jackson-databind远程代码执行漏洞(CVE-2019-12384) 对应策略 升级 kafka（也是重启）

--------------------------------------