安全漏洞解决思路
-
查找方式
-
通用查找
名词
说明
备注
CVE Common Vulnerabilities and Exposures 一个关于信息安全漏洞和暴露的数据字典,可以通过网址:https://cve.mitre.org/cve/search_cve_list.html,根据id或名称查询一般的漏洞及修复详情 CNNVD China National Vulnerability Database of Information Security 中国国家信息安全漏洞库,可通过网址:http://www.cnnvd.org.cn/web/vulnerability/querylist.tag,根据id或名称查询漏洞及修复详情 通过上述地址可以将带有CVE-ID的漏洞详情查询到,并找到解决方案。
-
中间件类-自身漏洞,参考官网漏洞解决详情即可,会列出解决版本号,作相应升级即可(仅列出部分,其他均可参考相应官网说明)
中间件
漏洞解决官网链接
备注
redis 安全配置:https://redis.io/topics/security kafka 安全配置:https://kafka.apache.org/documentation/#security mariadb 漏洞列表:https://mariadb.com/kb/en/security/
mysql解决,mariadb未解决列表:https://mariadb.com/kb/en/security-vulnerabilities-in-oracle-mysql-that-did-not-exist-in-mariadb/
nginx 漏洞列表:https://nginx.org/en/security_advisories.html elasticSearch 漏洞列表:https://www.elastic.co/cn/community/security/ logstash 漏洞列表:https://www.elastic.co/cn/community/security/ - 开源框架类:对于一些框架如Apache Shiro,Spring Cloud Config等,均可通过漏洞披露网站进行查询并找到解决方案。
- 系统类
-
-
解决方式
- 具备cve-id的可使用通用方式快捷查找
- 对于部分漏洞,仅有部分说明,无漏洞id(一般为低风险),可通过描述定位到具体问题
- 对于部分漏洞,可选择通用方式,解决其漏洞,但对于不需要被外网访问的一些软件,可直接屏蔽其端口,仅供内部访问即可