近期安全事件高发,又开始新一轮的查缺补漏了,在这里记录下近期的补漏方案供大家参考:
以下为苍穹私有云产品相关内容,工作量评估的话,最多是操作系统和数据库,其次容器和应用需要依赖金蝶总部支持。
应用方面:
依旧是首选升级到最新版本的星瀚,才可以解决部分应用的版本问题。
然后就是根据漏扫信息逐一分析修复方案
容器方面
4.0版本的镜像文件在5.0虽然还可以使用,但镜像中的老版本应用会存在很多漏洞,建议将镜像都升级到最新版本,然后在最新版本镜像基础上进行修复。
参考手册可以进行,简单来说就是去官网下载最新镜像,然后到每个容器节点docker images load新镜像,然后到gpass点击服务->对象->更新升级->选择镜像(手工输入镜像名也可以)最后重启容器生效。
注意,gpass容器部署的话,也是会有镜像内核问题。
苍穹gPaaS历史版本升级到5.0.3版本教程 (kingdee.com)
补充说明:升级gpaas前检查好config文件里的几个关键路径和密码输入到新的config里即可,先load所有images,然后执行升级脚本,升级完成后docker images对比所有的镜像删除重名的老版本镜像,否则扫描时候还会出现漏洞。
| 容器类型 | 容器版本 | 方案 |
| mservice | 5.0.010 | 私包处理 |
| fileserver | 5.0.018 | 私包处理 |
| gpaas | mysql redis kcr.kingdee.com/gpaas/local-path-provisioner:v0.0.19 | 先升级到最新5.0.3然后私包处理 |
操作系统方面:
一般linux环境漏洞客户自行联系安全厂商或者内部处理,如果自己做是个大工程。
另外,容器本身就是一个独立系统,所以每个容器都会涉及系统级更新。
数据库方面:
采用mysql的话最近会有不少新的漏洞发布,参考社区说明升级到8.0.26版本(最新版本是8.0.33,需多测试)
补充:mysql8.0以后版本不支持小版本回退,逻辑备份+物理备份后再做版本升级。
漏洞列表:
| 漏洞标识 | 漏洞说明 | 修复方案 |
| CVE-2022-31197 | PostgreSQL JDBC Driver(简称 PgJDBC)存在安全漏洞,由于java.sql.ResultRow.refreshRow()方法没有执行列名的转义,因此包含语句终止符的恶意列名可能导致 SQL 注入。攻击者利用该漏洞可以以应用程序的 JDBC 用户身份执行其他 SQL 命令。将 PostgreSQL JDBC 升级到 42.2.26、42.4.1 及以上版本 | 不用pg数据库的直接删掉对应的pg包,从应用仓库cosmic/trd的trd-drivers.zip文件中删除postgresql-42.2.16.jar |
| CVE-2021-42550 | Logback存在远程代码执行漏洞,有编辑配置文件所需权限的攻击者可以制作恶意配置,允许执行从 LDAP 服务器加载的任意代码。将 Logback 升级到 1.2.9 及以上版本 | 更新mservice镜像,补丁官网下载 |
| CVE-2022-25168 | Apache Hadoop存在命令注入漏洞,该漏洞源于其 FileUtil.unTar接口未转义用户提交到shell的文件名导致攻击者可以注入任意命令。将 Apache Commons Collections 升级到 3.2.2、4.1 及以上版本,将 Hadoop 升级到 2.10.2、3.2.4、3.3.3 及以上版本 | 更新fileserver镜像,补丁官网下载 |
| CVE-2023-24998 | Apache Commons FileUpload 拒绝服务漏洞(CVE-2023-24998) | 私包处理 |
目前部署难度较大的k8s组件
haproxy组件替换
镜像名称:kcr.kingdee.com/k8s/ubuntu:tools
kcr.kingdee.com/k8s/haproxy-ingress:v0.12.1
calico需要升级到kcr.kingdee.com/k8s/calico/node:v3.19.4
替换掉 kcr.kingdee.com/k8s/calico/node:v3.19.1
推荐阅读