Nessus 弱點掃描修補

網站常見弱點問題

高風險 (HIGH)

嚴重風險 (CRITICAL)

弱點修補完之後記得重新開機以套用設定
42873，35291兩個弱點也會因安裝使用了AnyDesk而產生弱點，移除即可解決

網站常見弱點問題

PHP 弱點相關問題

當弱掃報告出現如下情形時，好像很多，但其實很簡單，只要更新PHP版本到目前最新版本就好。

2023/11/21查詢時的最新版本為 8.0.X或8.1.X

Apache 弱點相關問題

當弱掃報告出現如下情形時，好像很多，但其實很簡單，只要更新Apache版本到目前最新版本就好。

2023/11/21查詢時的最新版本為 2.4.56

OpenSSL 弱點相關問題

當弱掃報告出現如下情形時，好像很多，但其實很簡單，只要更新OpenSSL版本到目前最新版本就好。

Apache Tomcat 弱點相關問題

當弱掃報告出現如下情形時，好像很多，但其實很簡單，只要更新Apache Tomcat 版本到目前最新版本就好。

2023/11/28 查詢時的最新版本為 9.0.83

Python 弱點相關問題

更新到最新即可

2023/11/21查詢時的最新版本為 3.12

GitLab 弱點相關問題

當弱掃報告出現如下情形時，好像很多，但其實很簡單，只要更新GitLab版本到目前最新版本就好。

2023/11/21查詢時的最新版本為 16.5.X

高風險 (HIGH)

42873 - SSL Medium Strength Cipher Suites Supported (SWEET32)

Linux

參考下方兩個網址的解決方式試試

https://www.linuxquestions.org/questions/linux-security-4/how-to-resolve-vulnerability-id-42873-ssl-medium-strength-cipher-suites-supported-sweet32-4175658096/#google_vignette

https://unix.stackexchange.com/questions/720795/ssl-medium-strength-cipher-suites-supported-sweet32-vulnerability-of-https-in

Windows
下載這個工具 (GUI)
https://www.nartac.com/Products/IISCrypto

然後看這個網站如何設定
https://social.technet.microsoft.com/wiki/contents/articles/52234.exchange-2016-cipher-lockdown-with-iiscrypto-2-0.aspx?Redirected=true

網站的hashes的欄位，僅MD5被取消勾選，請把SHA也取消，如下圖

在教學的部分，Key Exchanges的Diffie-Hellman沒勾，但是不勾會導致Dropbox無法連線問題(如果你沒用這個軟體就沒差，但是不知道其他軟體會不會用到，建議還是打勾)

35291 - SSL Certificate Signed Using Weak Hashing Algorithm

參考下方文章第35頁或第45張投影片

http://192.192.83.167/bitstream/987654321/2026/2/主機弱點掃描之研究-以非授權與授權掃描為例.pdf

請設定與憑證相同主機名稱，圖45~53

41028 - SNMP Agent Default Community Name (public)

Linux
參考如下文章
- https://blog.csdn.net/superbfly/article/details/121220178
- https://community.spiceworks.com/topic/2196652-snmp-agent-default-community-name-public

修改設定檔/etc/snmp/snmpd.conf將Public改成其他具有複雜度的字串如Admin123…，儲存後重新啟動SNMP服務即可。
不一定要寫Admin#123，你可以自定義一個字串，但是不要太簡單，符合安全的密碼原則一樣為佳

35450 - DNS Server Spoofed Request Amplification DDoS

參考
https://docs.google.com/document/d/1vACK8AihEUOnJ_wGSVHq0saFrIksJyfzjC9FQhLD86Y/edit

內有windows與Linux的解決方案

嚴重風險 (CRITICAL)

20007 - SSL Version 2 and 3 Protocol Detection

解決方式參考

windows
https://help.defense.com/en/articles/6302795-ssl-version-2-and-3-protocol-detection-windows-vulnerability
linux
根據提供的服務不同，要去不同的檔案設定，在下方網址的Remediation有提到
https://help.defense.com/en/articles/6718572-ssl-version-2-and-3-protocol-detection-linux-vulnerability

linux其餘說明見下方

簡單說，就是要修改/etc/httpd/conf.d/ssl.conf檔案的SSLProtocol那行改成如下

SSLProtocol -all -TLSv1 +TLSv1.1 -SSLv3 -SSLv2 +TLSv1.2

11356 - NFS Exported Share Information Disclosure

參考

linux
https://djc8.cn/archives/bug-fix-nfs-exported-share-infomation-disclosure.html

119780 - Netatalk OpenSession Remote Code Execution

將Netatalk更新至最新版本

2023/11/21查詢時的最新版本為 3.1.18

125313 - Microsoft RDP RCE (CVE-2019-0708) (BlueKeep) (uncredentialed check)

去微軟官網下載補丁

https://support.microsoft.com/zh-tw/topic/關於-cve-2019-0708-的客戶指引-遠端桌面服務遠端執行程式碼弱點-2019-年-5-月-14-日-0624e35b-5f5d-6da7-632c-27066a79262e

175373 - Microsoft Message Queuing RCE (CVE-2023-21554, QueueJumper)

去微軟官網下載適合自己作業系統的補丁

https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2023-21554

或者參考

https://www.ithome.com.tw/news/156394

64377 - MiniUPnP < 1.4 Multiple Vulnerabilities

將 MiniUPnP 更新至最新版本

2023/11/21查詢時的最新版本為 2.2.5