操作場景

不同類型漏洞修復方式不同，請根據漏洞類型選擇對應修復方法。漏洞修復方法建議如下：

漏洞類型
修復方式建議
Linux軟件漏洞
可以使用以下方式進行處理：
使用態勢感知（專業版）控制臺上的“修復”功能進行修復。
根據界面提供的修復建議進行手動修復。
修復完成后，可通過“驗證”功能，快速驗證漏洞是否修復成功。
Windows系統漏洞
Web-CMS漏洞
根據界面提供的修復建議進行手動修復。
應用漏洞

注意
執行主機漏洞修復可能存在漏洞修復失敗導致業務中斷，或者中間件及上層應用出現不兼容等風險，并且無法進行回滾。為了防止出現不可預料的嚴重后果，建議您通過云服務器備份（CSBS）為ECS創建備份。然后，使用空閑主機搭建環境充分測試，確認不影響業務正常運行后，再對主機執行漏洞修復。
在線修復主機漏洞時，需要連接Internet，通過外部鏡像源提供漏洞修復服務。但是，如果主機無法訪問Internet，或者外部鏡像源提供的服務不穩定時，可以使用鏡像源進行漏洞修復。
為了保證漏洞修復成功，請在執行在線升級漏洞前，確認主機中已配置的對應操作系統的鏡像源。

通過控制臺修復漏洞

僅Linux軟件漏洞和Windows系統漏洞支持使用控制臺的漏洞修復功能。

1. 登錄管理控制臺。

2. 單擊頁面左上方的，選擇“安全 > 態勢感知（專業版）”，進入態勢感知（專業版）管理頁面。

3. 在左側導航欄選擇“工作空間 > 空間管理”，并在工作空間列表中，單擊目標工作空間名稱，進入目標工作空間管理頁面。

4. 在態勢感知（專業版）管理頁面選擇“風險預防 > 漏洞管理”，進入漏洞管理頁面。

5. 在漏洞管理界面，選擇“Linux漏洞”、“Windows漏洞”任意一個頁簽，進入對應漏洞管理頁面。

6. 在漏洞列表中，單擊目標漏洞名稱，右側彈出漏洞信息頁面。

7. 在漏洞信息頁面中，選擇“受影響資產”頁簽，并在資產列表中，單擊待處理資產所在行“操作”列的“修復”，系統提示修復操作觸發成功。

   如需批量修復，可以勾選所有需要修復的資產，然后在列表左上角，單擊“批量修復”。

8. 漏洞修復完成后，若修復成功，修復狀態將變更為“修復成功”。若修復失敗，修復狀態將變更為“修復失敗”。

   說明
   “Linux系統Kernel類的漏洞”修復完成后需要手動重啟，否則系統仍可能為您推送漏洞消息。
   

手動修復系統軟件漏洞

• 漏洞修復命令

  進入到漏洞的基本信息頁，可根據修復建議修復已經被識別出的漏洞，漏洞修復命令可參見下表。

  說明
  “Windows系統漏洞”和“Linux系統Kernel類的漏洞”修復完成后需要手動重啟，否則系統仍可能為您推送漏洞消息。
  不同的漏洞請根據修復建議依次進行修復。
  若同一主機上的多個軟件包存在同一漏洞，您只需修復一次即可。
  

  漏洞修復命令：

  操作系統	修復命令
  CentOS/Fedora /Euler/Redhat/Oracle	yum update 軟件名稱
  Debian/Ubuntu	apt-get update && apt-get install 軟件名稱--only-upgrade
  Gentoo	請參見漏洞修復建議。

• 漏洞修復方案

  漏洞修復有可能影響業務的穩定性，為了防止在修復漏洞過程影響當前業務，建議參考以下兩種方案，選擇其中一種執行漏洞修復：

  • 方案一：創建新的虛擬機執行漏洞修復

    1. 為需要修復漏洞的ECS主機創建鏡像。
    2. 使用該鏡像創建新的ECS主機。
    3. 在新啟動的主機上執行漏洞修復并驗證修復結果。
    4. 確認修復完成之后將業務切換到新主機。
    5. 確定切換完成并且業務運行穩定無故障后，可以釋放舊的主機。如果業務切換后出現問題且無法修復，可以將業務立即切換回原來的主機以恢復功能。

  • 方案二：在當前主機執行修復

    1. 為需要修復漏洞的ECS主機創建備份。
    2. 在當前主機上直接進行漏洞修復。
    3. 如果漏洞修復后出現業務功能問題且無法及時修復，立即使用備份恢復功能將主機恢復到修復前的狀態。

  說明
  方案一適用于第一次對主機漏洞執行修復，且不確定漏洞修復的影響。
  方案二適用于已經有同類主機執行過修復，漏洞修復方案已經比較成熟可靠的場景。
  

修復驗證

漏洞修復后，建議您立即進行驗證。

驗證方式
操作方法
手動驗證
通過漏洞詳情頁面的“驗證”，進行一鍵驗證。
執行以下命令查看軟件升級結果，確保軟件已升級為最新版本。
CentOS/Fedora /Euler/Redhat/Oracle操作系統：rpm -qa | grep 軟件名稱
Debian/Ubuntu操作系統：dpkg -l ?| grep 軟件名稱
Gentoo操作系統：emerge --search 軟件名稱
自動驗證
若您未進行手動驗證，HSS每日凌晨進行全量檢測，您修復后需要等到次日凌晨檢測后才能查看修復效果。