全球主机交流论坛

标题: 求等保测评高危漏洞处理方法 [打印本页]

作者: 菲律宾服务器 时间: 2015-6-12 09:26
标题: 求等保测评高危漏洞处理方法
问题如下：
手头一系统需等保测评,测评公司用一软件扫描发现操作系统(生产应用主机系统为redhat5.x)存在一些漏洞,漏洞报表上的漏洞处理方法感觉有点不靠谱。
需修复的高危漏洞如下：
高危险       OpenSSH‘hash_buffer’函数缓冲区溢出漏洞(CVE-2014-1692)
高危险       OpenSSH J-PAKE授权问题漏洞(CVE-2010-4478)
高危险       Apache Tomcat 拒绝服务漏洞(CVE-2014-0075)
高危险       Apache HTTP Server拒绝服务漏洞(CVE-2011-3192)(精确扫描)

处理方式：
较简单方式是做openssh和apache大版本升级,不过就怕后续产生一些问题,就更麻烦了。
现在有一想法，请各位大牛帮忙看下是否可行：
上面4个高危漏洞都是基于ssh和http协议的,是否可以在火墙上做下策略,只允许LAN内有交互的设备数据包通过,丢弃其它来源包?
请问下有处理这种问题经验得高手,这种方式可行么,有其它厉害的处理方式么?谢谢了

欢迎光临全球主机交流论坛 (http://bbs.cuwww.com/)