如何应对安全漏洞的修复

在大多数企业和公司，并没有专门的信息安全部和安全工程师，所以安全漏洞的修复责任就落到了运维部门的工程师头上，那么当你拿到了一份安全评估报告后，该如何应对安全漏洞的修复呢？

首先明确风险的类型和确定等级。基本上来说，风险可以分为网络服务、系统、应用程序、中间件、数据库类的；从等级上来说，还可分为高、中、低三大类。做好这一步工作很重要，方便你理清头绪，有的放矢，不会眉毛胡子一把抓。着重优先解决高风险漏洞，根据安全影响的层面和客户要求适度处理中风险漏洞，低风险的漏洞可以适当忽略。

其次，进行汇报、时间和人力协调，做好实施方案。因为进行漏洞的修补和版本的相关升级，都会影响到生产上的应用和对内、对外的服务，因此必须跟上级领导汇报情况和可能的风险，得到领导的批准和支持。然后制定详细方案下发各相关人员，安排合适的时间窗口，并通知各部门做好协调和配合。

最后准备预案和及时反馈。升级和打补丁过程中，也会经常出现一些小问题和意外，重要的是要准备好预案，事先对可能会出现的问题进行预估和做好解决方案，避免出差错。另外在整个过程中，及时做好信息反馈很重要，有利于各方面的信息畅通和动作配合。

不管是安全漏洞的修复还是版本的升级，事先做好备份和应急预案，都是很重要的。牢记安全第一，防患于未然，这不仅是专业化的体现更是一种职业操守。

应用程序补丁安全升级方案示例：

前期分析

一般扫描和分析工具会列出具体的漏洞名称和风险级，你展开每个漏洞一般也会带有具体漏洞的信息和解决方案，下面我们再看一个图，是绿盟给出的漏洞详细信息图。

注意图中划红线的部分，漏洞描述中分析了哪些版本会存在此问题并在下面的解决方案中给出了补丁下载信息。一般来说，你在一个应用中间件中发现了多个漏洞，并不需要一个一个的去修补，可以考虑合适的版本升级，比如以前是7.0版，现在可升级为7.0版本里的最高级。而如果是跨版本升级，则需要经过周密测试，一般在实际环境中不会贸然跨版本升级，这样做的话影响面大、风险也大。升级到一定版本后，针对其他的漏洞则可以单个的去修补。因此，经协商后，方案敲定为升级到7.0版本里的最高级，其他个别漏洞进行单一修补。

一、应用备份
备份前，检查确认是否需要扩充相关文件系统（主要保证有足够的空间），以便保证成功备份和软件成功安装。
将现有环境进行备份，主要是软件安装目录及相关配置文件

tar -cvf /backup/was.20130924.tar /usr/was/WebSphere/AppServer

tar -cvf /backup/http.20130924.tar /usr/was/HttpServer

二、软件和补丁安装
注意WAS软件和补丁安装使用wasuser用户。IHS 需要用root ；

将补丁或新版本上传到相应的机器上，并设置正确的属主和权限。

WS-UPDI-AixPPC64.tar.gz

WS-IHS-AixPPC64-FP0000045.pak

WS-PLG-AixPPC64-FP0000045.pak

WS-WAS-AixPPC64-FP0000045.pak

设置正确的属主和权限

chown wasuser:wasgroup WS-UPDI-AixPPC64.tar.gz

chmod 644 WS-UPDI-AixPPC64.tar.gz

三、停止WAS和HTTP服务，应用在此期间将不能访问和使用。

停止WAS

cd /usr/was/WebSphere/AppServer/profiles/Server1/bin

./stopServer.sh xxx -user wasadmin –password *****

./stopNode.sh -user wasadmin –password ******

su - wasuser

cd /usr/was/WebSphere/AppServer/profiles/Dmgr01/bin

./stopManager.sh -user wasadmin –password *****

停止HTTPServer

/usr/was/HttpServer/adminctl stop

/usr/was/HttpServer/apatchectl stop

四、软件安装
在相应的机器上安装补丁，升级或打补丁完毕，在相应机器上启动WAS服务和HTTP服务。

在相应主机上安装WAS UpdateInstaller

将补丁文件拷贝到/usr/was/WebSphere/AppServer

gunzip WS-UPDI-AixPPC64.tar.gz

tar -xvf WS-UPDI-AixPPC64.tar

在主机上安装WAS补丁(需要图形界面进行安装)

cd /usr/was/WebSphere/UpdateInstaller

./update.sh进行安装，选择目录/usr/IBM/WebSphere，安装相应补丁即可。

在主机上安装HTTP补丁(需要图形界面进行安装)

cd /usr/was/WebSphere/UpdateInstaller

./update.sh进行安装，选择目录/usr/was/HTTPServer，安装相应补丁即可。

在主机上安装PLUGIN补丁(需要图形界面进行安装)

cd /usr/was/WebSphere/UpdateInstaller

./update.sh进行安装，选择目录/usr/was/HTTPServer/Plugin，安装补丁即可。

启动新版本服务

/usr/was/HTTPServer/bin/apachectl start

/usr/was/HTTPServer/bin/adminectl start

/usr/ was/WebSphere/AppServer/profiles/Dmgr01/bin/startDmgr.sh

/usr/ was/WebSphere/AppServer/profiles/AppServ01/bin/startNode.sh

/usr/ was/WebSphere/AppServer/profiles/AppServ01/bin/startServer.sh clserver1

五、验证WAS服务正常
1、通过业务系统进行业务查询，验证WAS能够正常提供服务。
2、测试各应用和接口是否正常。
3、系统应用检查
测试功能和整体是否正常。

六、回退方案
如果在WAS升级之后不能正常对外提供服务，需要停止新版本的WAS和HTTP服务，通过升级之前的备份来进行恢复到原来版本级别。