云安全中心：漏洞管理常见问题

扫描行为与结果问题

• 为何同一台机器报告多个相同漏洞？

  应用漏洞检测以具体运行的进程实例为检测对象，如果服务器上运行了多个存在相同漏洞的进程实例（例如，在不同端口上启动了两个相同的 Tomcat 服务），系统将为每个进程实例分别报告一个漏洞。如果服务器上仅安装了含漏洞的软件但其对应进程未运行，则不会检测出该漏洞。

• 为何Fastjson 这类漏洞扫描结果可能不一致？

  此类漏洞的检测依赖于其组件（如 JAR 包）是否在扫描期间被加载至“运行时”状态。在动态加载模式下，只有当包含漏洞的组件被业务逻辑实际调用时，漏洞才能被有效识别。因此，不同时间点的扫描结果可能存在差异。

  说明

  为提升此类漏洞的检测准确率，建议执行周期性或多次扫描。

• 客户端离线后，为何控制台仍然显示该主机的漏洞记录？

  客户端离线后，已检测出的漏洞记录会保留在云端控制台，但这些记录会自动失效且无法进行相关操作（如修复、验证或清除记录）。漏洞自动失效周期如下：

  重要

  所有数据仅在云安全中心服务到期且超过7天未续费的情况下才会被彻底清除。

  • Linux软件漏洞、Windows系统漏洞：3天后失效。

  • Web-CMS漏洞：7天后失效。

  • 应用漏洞：30天后失效。

  • 应急漏洞：90天后失效。

性能影响与安全性问题

• 漏洞扫描或应急漏洞的主动验证（POC）会影响业务系统吗？

  通常无影响。云安全中心的主动验证（POC）仅发送极少量（1-2个）的无害化探测请求，不执行任何形式的攻击或破坏性行为。若目标应用对非预期输入的处理逻辑极其脆弱，极端情况下存在微小的未知风险。

• 漏洞扫描为何会触发内存超限（OOM）？

  云安全中心客户端设置内存限制（默认200MB）。扫描占用超过限制值时，系统OOM机制会主动终止检测进程（ALiSecCheck），以节省资源。

  说明

  • 此限制通常是由名为aegisRtap0 的控制组 （cgroup）管理，相关OOM信息可于 dmesg 日志中查询。

  • 此现象属于正常行为，与系统内存不足无关，无需用户干预。

  • 这种 OOM 是由控制组的内存限制导致的，并不意味着整个系统的内存不足。

扫描范围与能力问题

1. 漏洞扫描覆盖哪些范围？

   扫描同时覆盖系统和应用两个层面：

   • 系统层面：Linux 软件漏洞、Windows 系统漏洞。

     重要

     Windows 系统漏洞仅支持扫描月度安全更新补丁。

   • 应用层面：Web-CMS 漏洞、应用漏洞、应急漏洞。

2. 如何查看云安全中心支持检测的漏洞列表？

   1. 登录云安全中心控制台。

   2. 在左侧导航栏，单击漏洞管理，进入漏洞扫描页面。在概览部分，找到 “已支持漏洞” 的统计卡片。

   3. 单击该卡片上显示的漏洞总数，即可进入列表页面，查看所有支持检测的漏洞及其详细信息。

3. 是否支持 Elasticsearch 等特定漏洞的检测？

   支持。 可以在控制台的应用漏洞页面查看 Elasticsearch 等服务的漏洞检测结果。

   说明

   此功能仅支持包年包月服务（企业版、旗舰版）和按量付费服务（主机全面防护、主机及容器全面防护）。如果当前的版本不支持此功能，请先升级。

修复限制与原理类问题

• 为什么修复漏洞时修复按钮为灰色？

  • 产品版本限制

    • 版本过低：免费版、防病毒版不支持一键修复。

    • 解决方案：购买“漏洞修复”增值服务，或升级到企业版/旗舰版。

  • 服务器问题

    Linux 服务器问题

    • 操作系统已停止维护：厂商不再提供补丁，需手动升级操作系统版本。目前以下操作系统中的漏洞，需要升级操作系统进行修复。

      • Red Hat 5、Red Hat 6、Red Hat 7、Red Hat 8

      • CentOS 5

      • Ubuntu 12

      • Debian8、9、10

    • 磁盘空间不足：可用空间小于 3 GB，请清理或扩容磁盘。

    • 进程占用：apt 或 yum 进程正在运行。请等待其结束后重试，或手动终止该进程。

    • 权限不足：执行修复命令的用户权限不够。请确保文件所有者为 root 用户，并设置合理权限（如 755）。

    Windows 服务器问题

    • 磁盘空间不足：可用空间小于 500 MB，请清理或扩容磁盘。

    • Windows Update 服务异常：服务被禁用或正在运行。

      • 禁用：进入该服务器的系统服务管理器，开启Windows Update Service后，然后重新尝试修复该漏洞。

      • 正在运行：如果正在运行，请等待其结束或手动结束该服务器中的Wusa进程，然后重新尝试修复该漏洞。

• 应用漏洞和系统漏洞有什么区别？为什么应用漏洞不支持一键修复？

  • 系统漏洞（例如Linux软件漏洞、Windows系统漏洞）是操作系统或其组件的漏洞，修复路径标准化，因此支持一键修复。

  • 应用漏洞存在于自行部署的应用程序（例如网站代码、第三方软件）中，其修复方式与业务逻辑和代码实现紧密相关，无法在不了解业务的情况下自动修复，因此需要手动处理。

• 为什么服务器上会有这么多漏洞？ 

  随着新的攻击手法不断出现，旧版本软件中的漏洞会持续被发现，因此定期扫描和修复是持续性的安全工作。开启“仅显示真实风险漏洞”开关，可帮助聚焦于关键风险。

修复操作类问题

• 执行修复命令时，提示“权限获取失败，请检查权限后重试”怎么办？

  • 问题原因：执行修复操作所需文件的所属用户非 root，导致权限不足。

  • 解决方案：

    1. 定位文件：

       在云安全中心查看漏洞详情，确认需要修复的具体文件及其路径。

    2. 修改权限：

       登录服务器，执行以下命令，将文件所属用户更改为 root。

    3. 重试修复：

       返回云安全中心控制台，对该漏洞重新执行修复操作。

• 批量进行漏洞修复时，漏洞修复按照什么顺序执行？

  Linux软件漏洞和Web-CMS漏洞按照控制台中漏洞列表的顺序执行批量修复。修复部分Windows系统漏洞时会需要先安装前置补丁，批量修复Windows系统漏洞时优先修复此类漏洞，其余漏洞按照控制台中漏洞列表顺序执行修复。

• 为什么Ubuntu内核补丁漏洞修复重启无效？

  • 问题现象：在云安全中心为 Ubuntu 服务器一键修复内核漏洞后，虽然提示“修复成功，待重启”，但重启服务器后，漏洞告警依然存在，系统并未启用新安装的内核。

  • 问题原因：通常是因为之前手动修改过 GRUB 引导菜单的默认启动顺序。在这种情况下，系统修复脚本无法自动将新安装的内核设置为默认启动项。

  • 解决方案：

    方案一：自动配置新内核

    此方案会放弃原有的 GRUB 自定义配置，让系统自动应用新内核的默认设置。

    操作步骤：

    1. 在执行漏洞修复前，登录到您的 Ubuntu 服务器。

    2. 执行以下命令，设置环境变量：

       <BASH>
       
       export DEBIAN_FRONTEND=noninteractive

    3. 返回云安全中心控制台，对该漏洞执行一键修复。

    4. 修复完成后按提示重启服务器，系统将自动启用最新内核。

    方案二：手动修改引导顺序

    如果需要保留原有的 GRUB 配置，可以选择此方案。

    操作步骤：

    1. 在云安全中心控制台正常执行一键修复并按提示重启服务器。

    2. 修复重启后，登录到您的 Ubuntu 服务器。

    3. 手动修改 GRUB 引导顺序，将新安装的内核版本设置为默认启动项。

       说明

       具体操作通常涉及修改 /etc/default/grub 文件并执行 update-grub 命令，相关操作可参考ECS Linux CentOS 修改内核引导顺序。

    4. 再次重启服务器，使新的引导顺序生效。

• 漏洞修复完成后是否还需要重启系统？

  • Windows系统：需要重启。

  • Linux软件漏洞：满足以下任一情况，则需要重启：

    • 修复的是内核漏洞。

    • 在云安全中心控制台风险治理 > 漏洞管理的Linux软件漏洞页签，该漏洞的漏洞公告信息中有需要重启的标签。

      

• 为什么进行漏洞回滚操作会失败？

  当漏洞回滚操作失败时，可按以下路径排查：

  1. 检查客户端（Agent）状态

     回滚操作依赖云安全中心 Agent 在线。若 Agent 处于离线状态，指令无法下发，需先排查并解决其离线问题。

  2. 确认备份快照有效性

     回滚功能基于修复前创建的备份快照。若快照因过期或被手动删除，则无法执行回滚。

• 修复漏洞时创建快照失败是什么原因？

  修复漏洞时创建快照失败可能是以下原因造成的：

  • 当前执行修复操作的账号是RAM账号：如果您当前使用的是RAM账号，并且该账号不具备创建快照的权限，控制台会提示您创建快照失败。建议您使用阿里云账号进行操作。RAM账号更多信息，请参见RAM用户概览。

  • 该服务器为非阿里云服务器：非阿里云服务器不支持创建快照修复漏洞。

修复后状态与验证类问题

• 漏洞已经修复了，但云安全中心仍提示存在漏洞怎么办？

  • 常见原因：出现该情况是因为部分漏洞（即Linux内核漏洞）修复后需要重启服务器。

  • 解决方案：请在漏洞详情页面，单击重启。重启完成后，单击验证，显示修复成功则代表该漏洞修复成功。

• 主机未安装相应补丁，为何显示Windows漏洞修复成功？

  这是 Windows 更新机制导致的正常现象，只需确保安装了最新的累积更新，即可修复其包含的所有历史漏洞，无需逐个安装旧补丁。

  说明

  可以访问微软官方补丁网站，查询最新安装的补丁（通常以 KB 号标识），查看其“程序包详细信息”，确认它是否已覆盖您关注的旧漏洞。

  • 核心原因：Windows 累积更新机制

    Windows 的安全更新采用“累积”模式。这意味着最新的月度安全补丁是一个集合包，它默认包含了发布日期前所有历史月份的安全修复。

  • 判定逻辑：当云安全中心检测到系统已安装最新的累积更新时，会将其覆盖的所有旧漏洞标记为“已修复”。因此，无需为每个历史漏洞单独安装补丁。

• 修复漏洞后，为什么在控制台还显示“未修复”？ 

  可能原因如下：

  1. 验证延迟：手动修复后，需要单击“验证”按钮触发即时扫描。状态更新需要几分钟时间。

  2. 缓存问题：控制台页面可能存在缓存，可尝试强制刷新页面或等待几分钟。

  3. 修复不彻底：修复操作可能未完全成功，或存在多个漏洞路径只修复了其中一个，请重新检查修复步骤。

• 修复成功待重启状态的漏洞，云安全中心能自动验证吗？

  不能。需要在云安全中心控制台执行重启操作，或者自行手动重启服务器。重启完成后，需单击验证，确认漏洞是否已被成功修复。

  重要

  若未主动验证，云安全中心会在后续的周期性扫描中自动检查。系统在首次扫描未发现该漏洞后，会将漏洞信息保留3天（以防网络等原因误判），若3天内持续未检出，则系统将清除该漏洞记录。

• 为什么漏洞修复后手动验证没有反应？

  在服务器上手动修复漏洞后，若云安全中心控制台的“验证”功能无法将漏洞状态更新为“已修复”，通常由以下两个原因导致：

  • 漏洞扫描等级配置不全

    • 原因：云安全中心只会扫描并更新在“漏洞管理设置”中已选定的风险等级。如果目标漏洞的风险等级（例如：高危、中危）未被勾选，系统将不会对该等级的漏洞状态进行更新。

    • 解决方案：检查并确保“漏洞管理设置”中的扫描等级已覆盖目标漏洞的风险级别。

  • 云安全中心客户端（Agent）离线

    • 原因：“验证”功能依赖于控制台与服务器上客户端的实时通信。若客户端处于离线状态，控制台无法下发验证指令或接收结果。

    • 解决方案：排查并解决客户端离线问题，确保其恢复在线状态后，再执行验证操作。

特定类型漏洞修复问题

• 内核漏洞升级修复后，云安全中心仍然提示存在漏洞如何处理？

  1. 确认当前内核已升级成功

     1. 查看当前正在运行的内核版本，确保当前使用的内核版本已符合漏洞说明命中条件中的要求。

        uname -av
        cat /proc/version

     2. 确认系统启动使用的是新内核

        <BASH>
        
        cat /etc/grub.conf

  2. 检查并清理旧版本内核 rpm 包

     1. 查看系统已安装的所有内核包，找出旧版本内核包（版本号低于当前正在使用的内核）。

        rpm -qa | grep kernel

     2. 给系统做保护快照（强烈建议）

        在云服务器控制台为当前实例创建快照/镜像，防止误删导致系统异常或无法启动。

     3. 卸载旧版本内核 rpm 包

        2. 仅卸载非当前正在使用的旧版本内核，例如：

           <BASH>
           
           rpm -e kernel-<旧版本号>

        3. 或使用发行版推荐方式：CentOS/RedHat：

           <BASH>
           
           yum remove kernel-<旧版本号>

  3. 忽略告警

     在确认系统实际使用的新内核已修复漏洞的前提下，仅忽略告警。

     1. 登录云安全中心控制台。

     2. 在左侧导航栏，选择风险治理 > 漏洞管理。在控制台左上角，选择需防护资产所在的区域：中国内地或非中国内地。

     3. 在Linux软件漏洞页签定位到该漏洞，单击漏洞名称进入漏洞详情页面。

     4. 在操作列下单击图标下的忽略。

• 如何手动升级Ubuntu内核？

  重要

  系统内核升级有一定风险，强烈建议您参考服务器软件漏洞修复建议中的方法进行升级。

  下文以将Ubuntu 14.04系统的3.1*内核升级至4.4内核为例，介绍手动升级Ubuntu内核的方法。

  1. 执行uname -av命令，确认当前服务器的系统内核版本是否为3.1*。

     

  2. 执行以下命令，查看是否已有最新的内核Kernel更新包。

     apt list | grep linux-image-4.4.0-94-generic
     apt list | grep linux-image-extra-4.4.0-94-generic

  3. 如果没有相关更新，您可执行apt-get update命令获取到最新的更新包。

  4. 执行以下命令，进行内核升级。

     apt-get update && apt-get install linux-image-4.4.0-94-generic
     apt-get update && apt-get install linux-image-extra-4.4.0-94-generic

  5. 更新包安装完成后，重启服务器完成内核加载。

  6. 服务器重启后，执行以下命令验证内核升级是否成功。

     • 执行uname -av命令查看当前调用内核。

       

     • 执行dpkg -l | grep linux-image命令查看当前内核包情况。

       

• 云安全中心控制台中某些漏洞提示无更新如何处理？

  漏洞提示无更新说明检测出漏洞的软件目前无官方更新源，无法在云安全中心控制台完成修复，可以参考下述说明，选择合适的处理方案：

  • 官方更新源暂未提供补丁

    • 问题表现：执行更新命令时，系统返回 already installed and latest version 或 No Packages marked for Update 等信息。

    • 已知软件包：Gnutls、Libnl、MariaDB

    • 处理建议：等待软件官方源发布更新。

  • 操作系统版本已停止支持 (EOL)

    • 问题表现：即使软件包已是当前系统支持的最新版，仍不满足漏洞修复所需的版本。例如，CentOS 6.x 等已停止官方维护的系统版本。

    • 处理建议：

      • 方案一：将操作系统升级至仍在官方支持周期内的新版本。

      • 方案二：评估并确认风险可控后，在云安全中心控制台将该漏洞标记为“忽略”。