最近對linux伺服器的漏洞進行了全方位的掃描,發現如下問題,以供同行參考:
漏洞描述
漏洞名稱
猜測出遠端SNMP服務存在可登入的使用者名密碼
較長的描述
本次掃描通過暴力猜測方式證明目标主機上的SNMP服務存在可猜測的密碼。
遠端攻擊者可通過猜測出的使用者名密碼對目标主機實施進一步的攻擊,這将極大地威脅目标主機以及目标網絡的安全。
解決辦法
建議您采取以下措施以降低威脅:
* 如果SNMP服務不是必須的,建議停止此服務。
* 修改使用者密碼,設定足夠強度的密碼。
威脅分值
5
危險插件
否
Oracle Database Server遠端安全漏洞(CVE-2013-3774)
Oracle Database Server是一個對象一關系資料庫管理系統。它提供開放的、全面的、和內建的資訊管理方法。
Oracle Database Server在Network Layer元件的實作上存在遠端安全漏洞,此漏洞可通Oracle Net協定利用,未經身份驗證的遠端攻擊者可利用此漏洞影響下列版本的機密性、完整性、可用性:10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, 11.2.0.3
Oracle
------
Oracle已經為此釋出了一個安全公告(cpujuly2013-1899826)以及相應更新檔:
cpujuly2013-1899826:Oracle Critical Patch Update Advisory - July 2013
連結:http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html
7
Oracle Database Server本地安全漏洞(CVE-2013-3771)
Oracle Database Server在Oracle executable元件的實作上存在本地安全漏洞,此漏洞可通過本地協定利用,未經身份驗證的遠端攻擊者可利用此漏洞影響下列版本的機密性、完整性、可用性:10.2.0.4, 10.2.0.5, 11.1.0.7, 11.2.0.2, 11.2.0.3
OpenSSH 'schnorr.c'遠端記憶體破壞漏洞(CVE-2014-1692)
OpenSSH是SSH協定的開源實作。
OpenSSH 6.4版本及之前版本,如果Makefile.inc修改為啟用J-PAKE協定,schnorr.c内的hash_buffer函數就不會初始化某些資料結構,這可使遠端攻擊者造成拒絕服務(記憶體破壞)。
廠商更新檔:
OpenSSH
-------
目前廠商已經釋出了更新更新檔以修複這個安全問題,請到廠商的首頁下載下傳:
http://www.openssh.com/
yum update openssh*
本次掃描通過暴力猜測方式證明目标主機上的FTP服務存在可猜測的密碼。
* 如果FTP服務不是必須的,建議停止此服務。
入侵者可以通過SNMP協定獲得目标主機上的開放的TCP/UDP端口清單。
這些端口資訊一般來說比通過端口掃描得到的資訊更為準确,攻擊者可以利用這些端口資訊來判斷目标主機上開放的服務、了解防火牆規則,發起進一步的攻擊。
建議您采取以下措施以降低威脅:
* 修改SNMP預設密碼或者禁止SNMP服務:
在Solaris系統下,修改/etc/snmp/conf/snmpd.conf
中預設的密碼,然後執行下列指令使之生效:
#/etc/init.d/init.snmpdx stop
#/etc/init.d/init.snmpdx start
在Solaris系統下,執行下列指令可以禁止SNMP服務:
# /etc/init.d/init.snmpdx stop
# mv /etc/rc3.d/S76snmpdx /etc/rc3.d/s76snmpdx
對于Windows系統,您可以參考以下方法關閉SNMP服務(以Windows 2000為例):
打開控制台,輕按兩下“添加或删除程式”,選擇“添加/删除Windows元件”,選中“管理和監視工具”,輕按兩下打開,取消“簡單網絡管理協定”複選框,按确定,然後按照提示完成操作。
在Cisco路由器上您可以使用如下方式來修改、删除SNMP密碼:
1. telnet或者通過序列槽登入進入您的Cisco路由器
2. 進入enable密碼:
Router>enable
Password:
Router#
3. 顯示路由器上目前的snmp配置情況:
Router#show running-config
Building configuration...
...
snmp-server community public RO
snmp-server community private RW
....
4. 進入配置模式:
Router#configure terminal
Enter configuration commands, one per line.? End with CNTL/Z.
Router(config)#
您可以選用下面三種方法中的一種或者結合使用:
(1) 如果您不需要通過SNMP進行管理,可以禁止SNMP Agent服務:
将所有的隻讀、讀寫密碼删除後,SNMP Agent服務就禁止
a. 删除隻讀(RO)密碼:
Router(config)#no snmp-server community public RO
......
b. 删除讀寫(RW)密碼
Router(config)#no snmp-server community private RW
(2) 如果您仍需要使用SNMP,修改SNMP密碼,使其不易被猜測:
a. 删除原先的隻讀或者讀寫密碼:
b. 設定新的隻讀和讀寫密碼,密碼強度應該足夠,不易被猜測。
Router(config)#no snmp-server community XXXXXXX RO
Router(config)#no snmp-server community YYYYYYY RW
(3) 隻允許信任主機通過SNMP密碼通路(以對隻讀密碼'public'為例)
a. 建立一個通路控制清單(假設名為66):
router(config)#access-list 66 deny any
b. 禁止任何人通路public密碼:
router(config)#snmp-server community public ro 66
c. 設定允許使用public密碼進行通路的可信主機(1.2.3.4):
router(config)#snmp-server host 1.2.3.4 public
對于讀寫密碼的通路限制同上。
在對SNMP密碼進行修改、删除等操作之後,需要執行write memory指令儲存設定:
router(config)#exit (退出congigure模式)
router#write memory (儲存所作設定)
* 在防火牆上過濾掉對内部網絡UDP 161端口的通路。
2
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)