How to Fix CVE-2023-48795

"弱點會被利用才會成為威脅(風險)。

弱點修補方式百百種。不一定要升級版本或是移除(看情境、看管理)。

當然修補的過程最重要的是要不能影響服務,再來最好要能有rollback機制"

本文之CVE介紹

Nessus說明

會因Windows、Linux等的版本不同,解決工法會不太一樣(大同小異)。

以Linux 7及Linux 8來說就有些微小的差異

這裡以Linux 8來做說明(其他的有機會再來補補)

步驟一、

vi /etc/sysconfig/sshd

將#CRYPTO_POLICY=的#拿掉

CRYPTO_POLICY=

存檔退出

步驟二、

vi /etc/ssh/sshd_config

新增下列參數,建議不要放在最下面,因為在某些情境會報錯,可以放在Banner /etc/issue下面

或是其他覺得適合的地方...

KexAlgorithms curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256

Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr

MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,umac-128@openssh.com

存檔退出

步驟三、

執行 sshd -t(有跳訊息代表有問題,需檢查)
如果沒有顯示任何訊息就代表設定沒問題。

步驟四、

執行 systemctl restart sshd

執行完上面流程後,再次進行弱掃,即可確認CVE是否已排除。
改改參數不用upgrade~~~

其他資料
DELL



留言

張貼留言

這個網誌中的熱門文章

快速將RMF背起來

圖片
 RMF ( Risk Management Framework  )是NIST發表的框架,俗稱 懶人包 。 細節可以參考 NIST RMF 背 是一件很困難的事情,不是每個人的記性都很好, 記 和 背 真的是筆者的痛... 背 和 理解 都很重要,再來就是 複習 ,不然過了一段時間就還是會忘記,但要再重新繫起來應該是蠻快的吧。 當初也是唸到最後才發現的方法....那時花很多時間在背... 之前有線上分享過幾次,效果很不錯,大多來聽的同學都馬上記住了。 以CISSP來說或是以資安的知識來說,RMF是真的很重要。對正在準備 CC 的讀者也很有幫助。 但針對要考試的人來說,就是超級重要,不然就拿不到和RMF有關的分數。 盤點、分類、保護 ,這三個詞,相信對大部分的讀者來說一定不陌生,會提到就是代表和RMF有密切關係,也是讓RMF能快速背起來的元素之一。 CISSP的8個Domain都有RMF的影子,所以說真的很重要。 那就開始說明如何用理解的方式快速將RMF6個步驟背起來: 首先可以先拆成兩大部分, 本文會把重點放在第一部分 ,因為第二部分只能靠自己了。 (不然出個上下集?!...但很多細節還是需要靠自己才能夠完成的) (迷之音:這是免費能看的嗎~) 超級重點來囉~ 一、理解式的按照順序背起來 先用 方法 記得步驟的順序(不要用跳步驟的,這叫死背) 用 技巧 ( 邏輯 )串起來 確認真的能把每個步驟背出來,且是要完整的名詞,不要偷懶 二、背起來後了解每個步驟 熟記框架,才不會忘記順序 補細節,加深對每個步驟的印象及用途 別忘了 Prepare 步驟 相信考前或是考完後要立馬忘記也很難 Source: NIST RMF 正式開始?! 要用英文名詞還是中文名詞都可以,但切記在輸出時一定要講完整的名詞,真的不要那麼懶啦。 注意,每個步驟都是由兩個名詞組成。 所以先填空,XXControls、XXSystem 六個步驟, 只有第一步和第五步有 System ,其他都是 Contro ls 所以在不管 Control s或 System 前面是要放什麼之前,已經先知道到底是"控制措施"還是"系統"會出現在哪幾個步驟了對吧。 盤點 完,我們要 分類 對吧? 第一步難道會是分類控制嗎?不是吧,畢竟前面已經先用填空的方式完成了。 所以第一步是 分...
閱讀完整內容

認識CC,考CISSP前的起手式

如果剛好正在準備CISSP或是正要準備超級入門的  CC( Certified in Cybersecurity ),希望這邊文章能幫助到讀者。 如果還在想要考哪一科為進入資安的起手式,扣除其他因素,CC真的是最佳首選。 目前只要註冊成為 ISC2 的會員,並且沒有任何官方證照,即可免費考   CC 一次 (原價美金199,至少要6千以上的新台幣....) 官方在推廣該考科的大標題 " ISC2 承諾 免費提供 100 萬個  ISC2  CC課程和考試 " CC在2022年8月誕生後,就火紅了起來,尤其在當年的12月又開放了簡中考試。 可以說是新版考試誕生後,這麼快就有簡中的考科。 除了能 免費考試 ,還有 免費的官方課程可以學習 。 更多資訊可以參考下面的官方連結。 CC的中文資訊跟 SSCP 比起來真的完整很多,這裡就提點考生特別需要注意的地方。 千萬不能小看CC這門考試 ,就連具有英文優勢的國外考生也會failed,更不用說講中文的考生。 除具備足夠的專業知識外,接下來就要知道官方的出題精神,才能穩穩摘金。 再來這是美國的考試,所以千萬不能用台灣的工作經驗(思維)來做題。 準備CC可以說是為CISSP奠定了很大的基礎 ,看過考試大綱的話就能體會。 測驗時間2小時、題目100題,記得當時應該是寫了1小時左右。 如果一題寫1分鐘,那時間真的也是足夠。 考試時要注意的是,遇到不清楚的中文,一定要把英文點開來看, 不管你在中文題目中看到了甚麼,一定要以英文的題意為主,來作答。 考CC除了為CISSP打地基以外,很重要的就是熟悉考場和環境,尤其是 考試軟體的操作 ,這樣才能在考CISSP時降低緊張感,還有很重要的就是手感, 有些題目,真的就像CISSP一樣燒腦 。 考CC的好處當然很多,但這裡就提點一些重要的。畢竟每個人的感覺都會有些不同。 通過考試後,只要等待工作天,確認考試過程中沒有任何問題,就會收到繳交年費 美金50 後即可取得證照的通知信。 除非真的很急須要使用CC的證照,不然可以等到CC以外的考試通過後,並且收到符合資格的通知信後再繳交年費 美金135 即可(2024年漲價囉)。 如果預計考取CC以外的證照時間是同年度,有聽到消息是補差額,若年度不同,可能還是依需求先繳交年費,若有疑問還是可以參考下方的官方連結或是發信詢...
閱讀完整內容

完整認識SSCP

希望看完 這篇 文章,讀著能很清楚的認識SSCP - S ystems S ecurity C ertified P ractitioner 中文直翻是 系統安全認證從業人員 ;補教機構翻: 資訊安全專業人員認證 SSCP 是 國際資訊系統安全認證聯盟 (International Information System Security Certification Consortium)簡稱 ISC2 的考試認證。 相信大家對ISC2應該不陌生,畢竟就是CISSP的發證機構。 為什麼要寫這篇文章的原因是除了該認證的中文資訊較少,或是無法排除筆者的疑問外,雖然在用英文查找資訊時,有不少資料,但還是找不到筆者想知道的資訊... 簡單說明舉例在英文裡找到的資訊 是: SSCP和CISSP都是怪獸 SSCP比CISSP難 所以在有限的資訊下,只能硬著頭皮準備後上場。 BTW, SSCP大約是2001年左右誕生的考科。 SSCP一開始是沒有簡中考試的,大約在2022年的11月才有簡中考試,但在2024年4月15就取消了。 可以說是簡中考試中活得蠻短的一科。 未來會不會復活簡中考試就看官方了。 所以才想說,要沒簡中了,如果能多一張證照也不錯。 如果讀者英文有一定的程度還是可以考看看,在學習官方的練習題的時候就盡量用英文來練習。 筆者是工程師出身,先取得CISSP後再去考取SSCP, 有CISSP的底子可能在取得SSCP上是有幫助的。 如果先從SSCP開始,對CISSP也是有幫助的。 CISSP雖說是管理考試,也是要認識很多技術的,所以筆者認為通過CISSP的非技術人員也是能取得SSCP; 或著說其實 想要SSCP 或是任何證照, 只要去學習就可以通過考試 ,所以和工程師與否沒有太大的關係。 但還是會因為考生的經驗而起跑點會有我不同。 那剛剛為什麼說是通過考試呢?因為要取得SSCP的證照,還需要走 endorse ( 背書) 流程、會需要資管相關的學歷(大學以上)或是相關工作經驗一年以上,然後確認符合取證資格後再繳交年費135美金。 準備考試的時間因為種種原因,OPT就隨意的選擇可能比較不熟的領域來練習,然後就上場了。 可能是運氣好,不然就是官方不太會特別刁難已經ready的考生。 其實因為有了CISSP的經驗,對於考試會很謹慎,擔心準備的不夠或是方向錯誤,或是認為題目可能很簡單...
閱讀完整內容