黄宇权 添加了评论 - 2023-09-25 03:20 下午 西湖大学漏洞： 6.1 nginx 安全漏洞(CVE-2021-23017) ： 解决方案：升级到最新的nginx 详见： GDDA8-6266 6.2 OpenSSH 操作系统命令注入漏洞(CVE-2020-15778) 解决方案：升级操作系统补丁（初步定为客户负责操作系统升级） 6.3 Oracle MySQL 安全漏洞(CVE-2022-21600) 解决方案：升级到最新的mysql 详见： GDDA8-6266 6.4 Nginx存在HTTP/2 资源管理错误漏洞(CVE-2019-9516) 解决方案：升级到最新的nginx 6.5 Nginx存在HTTP/2 资源管理错误漏洞(CVE-2019-9511) 解决方案：升级到最新的nginx 6.6 Nginx存在HTTP/2 资源管理错误漏洞(CVE-2019-9513) 解决方案：升级到最新的nginx 6.7 OpenSSH 安全漏洞(CVE-2017-15906) 解决方案：升级操作系统补丁 6.8 OpenSSH 安全漏洞(CVE-2018-15473) 解决方案：升级操作系统补丁 6.9 OpenSSH 安全漏洞(CVE-2018-15919) 解决方案：升级操作系统补丁 6.10 HTTP服务器版本信息泄露漏洞 在Nginx配置文件nginx.conf中的http标签段内加入“server_tokens off；”参数

黄宇权 添加了评论 - 2023-09-25 03:47 下午 建工集团漏洞： fastjson <= 1.2.68 反序列化远程代码执行漏洞 ： 解决方案：rocketmq升级至foxiswho/rocketmq:4.8.0 foxiswho镜像最高版本4.8.0已修复漏洞问题 fastjson <= 1.2.68 反序列化远程代码执行漏洞 解决方案：rocketmq-console-ng未用 已取消部署 Elasticsearch 未授权访问漏洞 解决方案： 需正式环境防火墙或路由限制ip访问端口 认证操作见 GDDA8-4869 ：附件 部署 - 光典SaaS云平台应用软件 8.0 - 应对安全扫描额外拓展部署.docx Apache Log4j2 远程代码执行漏洞（CVE-2021-44228） 解决方案：es已升级至7.10.2 替换log4j包至2.20.0 Apache Log4j2 < 2.17.0 (>=Java 8 环境) 拒绝服务漏洞（CVE-2021-45105） 解决方案：es已升级至7.10.2 替换log4j包至2.20.0 Redis 主从复制命令执行漏洞 解决方案：更新部署文件中 redis升级至5.0.14 MinIO LoginSTS host SSRF 漏洞（CVE-2021-21287） 解决方案：更新部署文件中minio升级至最新版本 minio/minio:RELEASE.2023-08-16T20-17-30Z Apache Log4j2 < 2.17.0 (>=Java 8 环境) 拒绝服务漏洞（CVE-2021-45105）

黄宇权 添加了评论 - 2023-09-25 06:11 下午 城投集团漏洞： Application error messages 解决方案：无法解决！，报错会有敏感信息比如 sql 只要执行失败就会报错 Spring Boot Actuator v2 解决方案： 修改配置实现，待与胡正讨论出结果进行最终方案！ Vulnerable JavaScript libraries 解决方案： 升级kkview 的js 版本  Clickjacking: X-Frame-Options header， 级别低不改 HTTP Strict Transport Security (HSTS) not implemented 级别低不改 Unrestricted access to Prometheus Metrics 级别低不改

孙秀雯 添加了评论 - 2023-09-26 09:53 上午 开发任务

胡正 添加了评论 - 2023-10-09 11:28 上午 Application error messages aesview的问题，已修改 Spring Boot Actuator v2 减少开放的检测项，只保留health和logfile，其中health仅显示状态，logfile用于控制台日志功能 Vulnerable JavaScript libraries aesview已升级至3.6.1