Security Center：漏洞管理常見問題

掃描行為與結果問題

• 為何同一台機器報告多個相同漏洞？

  應用漏洞檢測以具體啟動並執行進程執行個體為檢測對象，如果伺服器上運行了多個存在相同漏洞的進程執行個體（例如，在不同連接埠上啟動了兩個相同的 Tomcat 服務），系統將為每個進程執行個體分別報告一個漏洞。如果伺服器上僅安裝了含漏洞的軟體但其對應進程未運行，則不會檢測出該漏洞。

• 為何Fastjson 這類漏洞掃描結果可能不一致？

  此類漏洞的檢測依賴於其組件（如 JAR 包）是否在掃描期間被載入至“運行時”狀態。在動態載入模式下，只有當包含漏洞的組件被商務邏輯實際調用時，漏洞才能被有效識別。因此，不同時間點的掃描結果可能存在差異。

  說明

  為提升此類漏洞的檢測準確率，建議執行循環性或多次掃描。

• 用戶端離線後，為何控制台仍然顯示該主機的漏洞記錄？

  用戶端離線後，已檢測出的漏洞記錄會保留在雲端控制台，但這些記錄會自動失效且無法進行相關操作（如修複、驗證或清除記錄）。漏洞自動失效周期如下：

  重要

  所有資料僅在Security Center服務到期且超過7天未續約的情況下才會被徹底清除。

  • Linux軟體漏洞、Windows系統漏洞：3天后失效。

  • Web-CMS漏洞：7天后失效。

  • 應用漏洞：30天后失效。

  • 應急漏洞：90天后失效。

效能影響與安全性問題

• 漏洞掃描或應急漏洞的主動驗證（POC）會影響業務系統嗎？

  通常無影響。Security Center的主動驗證（POC）僅發送極少量（1-2個）的無害化探測請求，不執行任何形式的攻擊或破壞性行為。若目標應用對非預期輸入的處理邏輯極其脆弱，極端情況下存在微小的未知風險。

• 漏洞掃描為何會觸發記憶體超限（OOM）？

  Security Center用戶端設定記憶體限制（預設200MB）。掃描佔用超過限制值時，系統OOM機制會主動終止檢測進程（ALiSecCheck），以節省資源。

  說明

  • 此限制通常是由名為aegisRtap0 的控制組 （cgroup）管理，相關OOM資訊可於 dmesg 日誌中查詢。

  • 此現象屬於正常行為，與系統記憶體不足無關，無需使用者幹預。

  • 這種 OOM 是由控制組的記憶體限制導致的，並不意味著整個系統的記憶體不足。

掃描範圍與能力問題

1. 漏洞掃描覆蓋哪些範圍？

   掃描同時覆蓋系統和應用兩個層面：

   • 系統層面：Linux 軟體漏洞、Windows 系統漏洞。

     重要

     Windows 系統漏洞僅支援掃描月度安全更新補丁。

   • 應用程式層面：Web-CMS 漏洞、應用漏洞、應急漏洞。

2. 如何查看Security Center支援檢測的漏洞列表？

   1. 登入Security Center控制台。

   2. 在左側導覽列，單擊漏洞管理，進入漏洞掃描頁面。在概覽部分，找到 “已支援漏洞” 的統計卡片。

   3. 單擊該卡片上顯示的漏洞總數，即可進入列表頁面，查看所有支援檢測的漏洞及其詳細資料。

3. 是否支援 Elasticsearch 等特定漏洞的檢測？

   支援。 可以在控制台的應用漏洞頁面查看 Elasticsearch 等服務的漏洞檢測結果。

   說明

   此功能僅支援訂用帳戶服務（企業版、旗艦版）和隨用隨付服務（主機全面防護、主機及容器全面防護）。如果當前的版本不支援此功能，請先升級。

修複限制與原理類問題

• 為什麼修複漏洞時修複按鈕為灰色？

  • 產品版本限制

    • 版本過低：免費版、防病毒版不支援一鍵修複。

    • 解決方案：購買“漏洞修複”增值服務，或升級到企業版/旗艦版。

  • 伺服器問題

    Linux 伺服器問題

    • 作業系統已停止維護：廠商不再提供補丁，需手動升級作業系統版本。目前以下作業系統中的漏洞，需要升級作業系統進行修複。

      • Red Hat 5、Red Hat 6、Red Hat 7、Red Hat 8

      • CentOS 5

      • Ubuntu 12

      • Debian8、9、10

    • 磁碟空間不足：可用空間小於 3 GB，請清理或擴容磁碟。

    • 進程佔用：apt 或 yum 進程正在運行。請等待其結束後重試，或手動終止該進程。

    • 許可權不足：執行修複命令的使用者權限不夠。請確保檔案所有者為 root 使用者，並設定合理許可權（如 755）。

    Windows 伺服器問題

    • 磁碟空間不足：可用空間小於 500 MB，請清理或擴容磁碟。

    • Windows Update 服務異常：服務被禁用或正在運行。

      • 禁用：進入該伺服器的系統服務管理員，開啟Windows Update Service後，然後重新嘗試修複該漏洞。

      • 正在運行：如果正在運行，請等待其結束或手動結束該伺服器中的Wusa進程，然後重新嘗試修複該漏洞。

• 應用漏洞和系統漏洞有什麼區別？為什麼應用漏洞不支援一鍵修複？

  • 系統漏洞（例如Linux軟體漏洞、Windows系統漏洞）是作業系統或其組件的漏洞，修複路徑標準化，因此支援一鍵修複。

  • 應用漏洞存在於自行部署的應用程式（例如網站代碼、第三方軟體）中，其修複方式與商務邏輯和代碼實現緊密相關，無法在不瞭解業務的情況下自動修複，因此需要手動處理。

• 為什麼伺服器上會有這麼多漏洞？ 

  隨著新的攻擊手法不斷出現，舊版本軟體中的漏洞會持續被發現，因此定期掃描和修複是持久性的安全工作。開啟“僅顯示真實風險漏洞”開關，可協助聚焦於關鍵風險。

修複操作類問題

• 執行修複命令時，提示“許可權擷取失敗，請檢查許可權後重試”怎麼辦？

  • 問題原因：執行修複操作所需檔案的所屬使用者非 root，導致許可權不足。

  • 解決方案：

    1. 定位檔案：

       在Security Center查看漏洞詳情，確認需要修複的具體檔案及其路徑。

    2. 修改許可權：

       登入伺服器，執行以下命令，將檔案所屬使用者更改為 root。

    3. 重試修複：

       返回Security Center控制台，對該漏洞重新執行修複操作。

• 批量進行漏洞修複時，漏洞修複按照什麼順序執行？

  Linux軟體漏洞和Web-CMS漏洞按照控制台中漏洞列表的順序執行批量修複。修複部分Windows系統漏洞時會需要先安裝前置補丁，批量修複Windows系統漏洞時優先修複此類漏洞，其餘漏洞按照控制台中漏洞列表順序執行修複。

• 為什麼Ubuntu核心補丁漏洞修複重啟無效？

  • 問題現象：在Security Center為 Ubuntu 伺服器一鍵修複核心漏洞後，雖然提示“修複成功，待重啟”，但重啟伺服器後，漏洞警示依然存在，系統並未啟用新安裝的核心。

  • 問題原因：通常是因為之前手動修改過 GRUB 引導菜單的預設啟動順序。在這種情況下，系統修複指令碼無法自動將新安裝的核心設定為預設啟動項。

  • 解決方案：

    方案一：自動設定新核心

    此方案會放棄原有的 GRUB 自訂配置，讓系統自動應用新核心的預設設定。

    操作步驟：

    1. 在執行漏洞修複前，登入到您的 Ubuntu 伺服器。

    2. 執行以下命令，設定環境變數：

       <BASH>
       
       export DEBIAN_FRONTEND=noninteractive

    3. 返回Security Center控制台，對該漏洞執行一鍵修複。

    4. 修複完成後按提示重啟伺服器，系統將自動啟用最新核心。

    方案二：手動修改引導順序

    如果需要保留原有的 GRUB 配置，可以選擇此方案。

    操作步驟：

    1. 在Security Center控制台正常執行一鍵修複並按提示重啟伺服器。

    2. 修複重啟後，登入到您的 Ubuntu 伺服器。

    3. 手動修改 GRUB 引導順序，將新安裝的核心版本設定為預設啟動項。

       說明

       具體操作通常涉及修改 /etc/default/grub 檔案並執行 update-grub 命令，相關操作可參考ECS Linux CentOS 修改核心引導順序。

    4. 再次重啟伺服器，使新的引導順序生效。

• 漏洞修複完成後是否還需要重啟系統？

  • Windows系統：需要重啟。

  • Linux軟體漏洞：滿足以下任一情況，則需要重啟：

    • 修複的是核心漏洞。

    • 在Security Center控制台風險治理 > 漏洞管理的Linux軟體漏洞頁簽，該漏洞的漏洞公告資訊中有需要重新開機的標籤。

      

• 為什麼進行漏洞復原操作會失敗？

  當漏洞復原操作失敗時，可按以下路徑排查：

  1. 檢查用戶端（Agent）狀態

     復原操作依賴Security Center Agent 線上。若 Agent 處於離線狀態，指令無法下發，需先排查並解決其離線問題。

  2. 確認備份快照有效性

     復原功能基於修複前建立的備份快照。若快照因到期或被手動刪除，則無法執行復原。

• 修複漏洞時建立快照失敗是什麼原因？

  修複漏洞時建立快照失敗可能是以下原因造成的：

  • 當前執行修複操作的帳號是RAM帳號：如果您當前使用的是RAM帳號，並且該帳號不具備建立快照的許可權，控制台會提示您建立快照失敗。建議您使用阿里雲帳號進行操作。RAM帳號更多資訊，請參見RAM使用者概覽。

  • 該伺服器為非阿里雲伺服器：非阿里雲伺服器不支援建立快照修複漏洞。

修複後狀態與驗證類問題

• 漏洞已經修複了，但云資訊安全中心仍提示存在漏洞怎麼辦？

  • 常見原因：出現該情況是因為部分漏洞（即Linux核心漏洞）修複後需要重啟伺服器。

  • 解決方案：請在漏洞詳情頁面，單擊重启。重啟完成後，單擊驗證，顯示修複成功則代表該漏洞修複成功。

• 主機未安裝相應補丁，為何顯示Windows漏洞修複成功？

  這是 Windows 更新機制導致的正常現象，只需確保安裝了最新的累積更新，即可修複其包含的所有歷史漏洞，無需逐個安裝舊補丁。

  說明

  可以訪問微軟官方補丁網站，查詢最新安裝的補丁（通常以 KB 號標識），查看其“程式包詳細資料”，確認它是否已覆蓋您關注的舊漏洞。

  • 核心原因：Windows 累積更新機制

    Windows 的安全更新採用“累積”模式。這意味著最新的月度安全補丁是一個集合包，它預設包含了發布日期前所有歷史月份的安全修複。

  • 判定邏輯：當Security Center檢測到系統已安裝最新的累積更新時，會將其覆蓋的所有舊漏洞標記為“已修複”。因此，無需為每個歷史漏洞單獨安裝補丁。

• 修複漏洞後，為什麼在控制台還顯示“未修複”？ 

  可能原因如下：

  1. 驗證延遲：手動修複後，需要單擊“驗證”按鈕觸發即時掃描。狀態更新需要幾分鐘時間。

  2. 緩衝問題：控制台頁面可能存在緩衝，可嘗試強制重新整理頁面或等待幾分鐘。

  3. 修複不徹底：修複操作可能未完全成功，或存在多個漏洞路徑只修複了其中一個，請重新檢查修複步驟。

• 修複成功待重啟狀態的漏洞，Security Center能自動驗證嗎？

  不能。需要在Security Center控制台執行重啟操作，或者自行手動重啟伺服器。重啟完成後，需單擊驗證，確認漏洞是否已被成功修複。

  重要

  若未主動驗證，Security Center會在後續的周期性掃描中自動檢查。系統在首次掃描未發現該漏洞後，會將漏洞資訊保留3天（以防網路等原因誤判），若3天內持續未檢出，則系統將清除該漏洞記錄。

• 為什麼漏洞修複後手動驗證沒有反應？

  在伺服器上手動修複漏洞後，若Security Center控制台的“驗證”功能無法將漏洞狀態更新為“已修複”，通常由以下兩個原因導致：

  • 漏洞掃描等級配置不全

    • 原因：Security Center只會掃描並更新在“漏洞管理設定”中已選定的風險等級。如果目標漏洞的風險等級（例如：高危、中危）未被勾選，系統將不會對該等級的漏洞狀態進行更新。

    • 解決方案：檢查並確保“漏洞管理設定”中的掃描等級已覆蓋目標漏洞的風險層級。

  • Security Center用戶端（Agent）離線

    • 原因：“驗證”功能依賴於控制台與伺服器上用戶端的即時通訊。若用戶端處於離線狀態，控制台無法下發驗證指令或接收結果。

    • 解決方案：排查並解決用戶端離線問題，確保其恢複線上狀態後，再執行驗證操作。

特定類型漏洞修複問題

• 核心漏洞升級修複後，Security Center仍然提示存在漏洞如何處理？

  1. 確認當前核心已升級成功

     1. 查看當前正在啟動並執行核心版本，確保當前使用的核心版本已符合漏洞說明命中條件中的要求。

        uname -av
        cat /proc/version

     2. 確認系統啟動使用的是新核心

        <BASH>
        
        cat /etc/grub.conf

  2. 檢查並清理舊版本核心 rpm 包

     1. 查看系統已安裝的所有核心包，找出舊版本核心包（版本號碼低於當前正在使用的核心）。

        rpm -qa | grep kernel

     2. 給系統做保護快照（強烈建議）

        在雲端服務器控制台為當前執行個體建立快照/鏡像，防止誤刪導致系統異常或無法啟動。

     3. 卸載舊版本核心 rpm 包

        2. 僅卸載非當前正在使用的舊版本核心，例如：

           <BASH>
           
           rpm -e kernel-<舊版本號碼>

        3. 或使用發行版推薦方式：CentOS/RedHat：

           <BASH>
           
           yum remove kernel-<舊版本號碼>

  3. 忽略警示

     在確認系統實際使用的新核心已修複漏洞的前提下，僅忽略警示。

     1. 登入Security Center控制台。

     2. 在左側導覽列，選擇風險治理 > 漏洞管理。在控制台左上方，選擇需防護資產所在的地區：中國內地或非中國內地。

     3. 在Linux軟體漏洞頁簽定位到該漏洞，單擊漏洞名稱進入漏洞詳情頁面。

     4. 在操作列下單擊表徵圖下的忽略。

• 如何手動升級Ubuntu核心？

  重要

  系統核心升級有一定風險，強烈建議您參考伺服器軟體漏洞修複建議中的方法進行升級。

  下文以將Ubuntu 14.04系統的3.1*核心升級至4.4核心為例，介紹手動升級Ubuntu核心的方法。

  1. 執行uname -av命令，確認當前伺服器的系統核心版本是否為3.1*。

     

  2. 執行以下命令，查看是否已有最新的核心Kernel更新包。

     apt list | grep linux-image-4.4.0-94-generic
     apt list | grep linux-image-extra-4.4.0-94-generic

  3. 如果沒有相關更新，您可執行apt-get update命令擷取到最新的更新包。

  4. 執行以下命令，進行核心升級。

     apt-get update && apt-get install linux-image-4.4.0-94-generic
     apt-get update && apt-get install linux-image-extra-4.4.0-94-generic

  5. 更新包安裝完成後，重啟伺服器完成核心載入。

  6. 伺服器重啟後，執行以下命令驗證核心升級是否成功。

     • 執行uname -av命令查看當前調用核心。

       

     • 執行dpkg -l | grep linux-image命令查看當前核心包情況。

       

• Security Center控制台中某些漏洞提示無更新如何處理？

  漏洞提示無更新說明檢測出漏洞的軟體目前無官方更新源，無法在Security Center控制台完成修複，可以參考下述說明，選擇合適的處理方案：

  • 官方更新源暫未提供補丁

    • 問題表現：執行更新命令時，系統返回 already installed and latest version 或 No Packages marked for Update 等資訊。

    • 已知軟體包：Gnutls、Libnl、MariaDB

    • 處理建議：等待軟體官方源發布更新。

  • 作業系統版本已停止支援 (EOL)

    • 問題表現：即使軟體包已是當前系統支援的最新版，仍不滿足漏洞修複所需的版本。例如，CentOS 6.x 等已停止官方維護的系統版本。

    • 處理建議：

      • 方案一：將作業系統升級至仍在官方支援周期內的新版本。

      • 方案二：評估並確認風險可控後，在Security Center控制台將該漏洞標記為“忽略”。