我更新了 Amazon Elastic Compute Cloud (Amazon EC2) 实例,但 Amazon Inspector 检测到以前的内核版本上的常见漏洞和风险 (CVE)。我如何解决此问题?

Amazon Inspector 返回 Amazon EC2 实例上的所有已安装程序包的漏洞结果。对于​内核程序包,程序包管理系统(apt 或 rpm)在安装新内核时通常会保留安装在系统上的以前的内核。Amazon Inspector 检测以前的内核版本,即使该内核未处于活动状态。

更新 Linux 内核程序包,卸载以前的内核程序包,然后再次运行 Amazon Inspector。

Amazon Linux、RHEL 和 CentOS

1.更新 Linux 内核程序包:

sudo yum update kernel

2.(可选)更新所有程序包:

sudo yum update

3.重启以应用更改:

sudo reboot

4.列出正在运行的内核:

uname -r

5.列出已安装的内核:

sudo rpm -qa kernel

6.卸载内核程序包的以前版本:

sudo package-cleanup --oldkernels --count=1

7.验证是否仅有一个已安装内核:

sudo rpm -qa kernel

再次运行 Amazon Inspector。Amazon Inspector 不应返回与以前安装的内核版本程序包相关的漏洞。

Ubuntu 和 Debian

1.将 Linux 内核和依赖项更新为最新版本:

sudo apt update &&  sudo apt install linux-aws

2.(可选)更新包括内核在内的所有程序包:

sudo apt update &&  sudo apt dist-upgrade

3.重启以应用更改:

sudo reboot

4.卸载以前版本的程序包:

sudo apt autoremove

注意: sudo apt autoremove 命令删除不再需要的程序包的以前版本。有关删除以前的内核的信息,请参阅 RemoveOldKernels

5.再次运行 Amazon Inspector。

如果 Amazon Inspector 仍检测到以前安装的内核程序包中的漏洞,请运行以下命令。

1.列出已安装的内核:

sudo dpkg --get-selections|grep linux-image|grep -v deinstall

检查以确保您运行的是仍安装的两个列出的内核中的较晚者。

2.列出正在运行的内核:

uname -r

3.删除已安装的两个内核版本中的较早者以及相关程序包:  

sudo apt remove linux-*-4.4.0-1049-*

注意: 将内核版本号替换为最后安装的内核号。如果以前安装了更多内核程序包,请重复此操作。​

再次运行 Amazon Inspector。Amazon Inspector 不应返回与以前安装的内核版本程序包相关的漏洞。


此页面对您有帮助吗? |

返回 AWS Support 知识中心

需要帮助? 请访问 AWS 支持中心

发布时间: 2018-08-12