проверить, является ли система RHEL/CentOS уязвимой по CVE

Thank you for reading this post, don't forget to subscribe!

Боль­шин­ство ком­па­ний ска­ни­ру­ют инфра­струк­ту­ру на нали­чие уяз­ви­мо­стей каж­дый квар­тал, но срок может варьи­ро­вать­ся в зави­си­мо­сти от поли­ти­ки ITSM компании.

После ска­ни­ро­ва­ния без­опас­но­сти, если коман­да без­опас­но­сти обна­ру­жит уяз­ви­мо­сти в опре­де­лен­ной груп­пе под­держ­ки, напри­мер, Linux, Windows, Middleware или Network, она будет направ­ля­ет­ся к ним.

После назна­че­ния коман­да создаст ЗНИ (запрос на изме­не­ние) на осно­ве сре­ды, такой как TEST, DEV, UAT или PROD, и устра­ня­ет их, что­бы сде­лать свои систе­мы более безопасными.

Что такое CVE?

CVE рас­шиф­ро­вы­ва­ет­ся как (Common Vulnerabilities and Exposure) – это сло­варь пуб­лич­но извест­ных уяз­ви­мо­стей и уяз­ви­мо­стей инфор­ма­ци­он­ной безопасности.

Это спи­сок запи­сей, каж­дая из кото­рых содер­жит иден­ти­фи­ка­ци­он­ный номер, опи­са­ние и как мини­мум одну пуб­лич­ную ссыл­ку на обще­из­вест­ные уяз­ви­мо­сти кибербезопасности.

Разница между CWE и CVE уязвимостями

MITRE – это финан­си­ру­е­мая госу­дар­ством орга­ни­за­ция, кото­рая раз­ра­ба­ты­ва­ет стан­дар­ты, кото­рые исполь­зу­ют­ся сооб­ще­ством по инфор­ма­ци­он­ной безопасности.

Дву­мя наи­бо­лее попу­ляр­ны­ми из них явля­ют­ся CWE и CVE, и их часто пута­ют спе­ци­а­ли­сты по безопасности.

Вот про­стое различие:

  1. CWE рас­шиф­ро­вы­ва­ет­ся как Common Weakness Enumeration и име­ет отно­ше­ние к уяз­ви­мо­сти, а не к экзем­пля­ру в про­дук­те или системе.
  2. CVE озна­ча­ет Common Vulnerabilities and Exposures и име­ет отно­ше­ние к кон­крет­но­му экзем­пля­ру в про­дук­те или систе­ме, а не к основ­но­му недостатку.

1) Как проверить, уязвима ли система RHEL к определенному CVE?

Есть два спо­со­ба про­ве­рить, исправ­лен ли пакет для опре­де­лен­но­го CVE.

Если вы зна­е­те номер CVE, вы може­те про­ве­рить, исправ­лен ли CVE в вашей систе­ме RHEL.

Это мож­но сде­лать, про­ве­рив номер CVE по опре­де­лен­но­му паке­ту, посколь­ку каж­дый пакет rpm хра­нит инфор­ма­цию об исправ­ле­ни­ях, вклю­чая дату, опи­са­ние и номер CVE.

Син­так­сис:

rpm -q --changelog [package-name] | grep [CVE-NUMBER]

Напри­мер, что­бы узнать, был ли при­ме­нен ‘CVE-2021-3450’ к паке­ту openssl или нет, выпол­ни­те команду:

rpm -q --changelog openssl | grep CVE-2021-3450
- CVE-2021-3450 openssl: CA certificate check

Обра­ти­те вни­ма­ние: если вы не нашли CVE в резуль­та­тах, ваша систе­ма уяз­ви­ма, и вам необ­хо­ди­мо обно­вить пакет openssl, что­бы устра­нить эту уязвимость.

yum update openssl

Пере­чис­ли­те все при­ме­нен­ные исправ­ле­ния для openssl, запустите:

rpm -q --changelog openssl | grep CVE

Что­бы про­ве­рить спи­сок при­ме­нен­ных исправ­ле­ний в 2021 году для openssl, выпол­ни­те команду:

rpm -q --changelog openssl | grep CVE-2021

2) Проверьте, уязвима или нет система RHEL/CentOS 6/7/8 к CVE с помощью команды yum

Про­верь­те, затро­ну­та ли ваша систе­ма CVE, с помо­щью коман­ды yum.

Для это­го про­сто уста­но­ви­те пла­гин ‘yum-security’:

Для систем ‘RHEL 7 и 8’: Пла­гин уже явля­ет­ся частью само­го yum, поэто­му уста­нав­ли­вать его не нужно.

Для ‘RHEL 6’ выпол­ни­те сле­ду­ю­щую команду:

yum install yum-plugin-security

Про­верь­те, уяз­ви­ма ли систе­ма к CVE или уже была пофикшена.

Напри­мер, что­бы узнать, была ли при­ме­не­на ‘CVE-2021-3445’ выполните:

yum updateinfo info --cve CVE-2021-3445

Обра­ти­те вни­ма­ние: если в выво­де ниче­го не пока­за­но, зна­чит, систе­ма уже защи­ще­на от дан­ной CVE.

Если же  вывод jтоб­ра­жа­ет­ся, зна­чит, ваша систе­ма уяз­ви­ма и вам необ­хо­ди­мо обно­вить пакет yum для устра­не­ния этой уязвимости.

yum update yum

Все CVE доступ­ны на стра­ни­це базы дан­ных Red Hat CVE Database, и вы може­те в любое вре­мя про­смот­реть кон­крет­ный CVE для полу­че­ния допол­ни­тель­ной информации.