由于本文含有很多图标，HTML格式排版很难看，请下载PDF版本PatchManagement1.pdf http://www.xfocus.net/articles/200405/PatchManagement1.pdf。

Benjurry@xfocus.org
天行健，君子以自强不息
地势坤，君子以厚德载物

安全焦点
http://www.xfocus.org
2004年4月
声明：安全焦点（xfocus security team）是非商业，全方位的网络安全组织，本文档为安全焦点发布的技术文件，供自由技术传播，拒绝商业使用。文档的所有权归属安全焦点，任何对本文档的修改、发布、传播等行为都需要获得安全焦点的书面授权，安全焦点保留对违反以上声明的组织或个人追究责任，直至诉诸法律的权力。

修订记录
日期 修订版本 修改描述 作者
2004-03-2 1.00 开始撰写 Benjurry
2004-03-31 1.01 补充文档 Benjurry
2004-4-30 1.02 部分修改 Benjurry
2004-5-6 1.1 分为几个部分发布 Benjurry

1 前言 5
2 补丁管理的特性 5
2.1 及时性 5
2.2 严密性 6
2.3 持续性 7
3 补丁管理流程 7
3.1 现状分析 8
3.2 跟踪补丁最新信息 8
3.3 补丁分析 10
3.3.1 分析漏洞的影响 10
3.3.2 确定补丁的严重等级 12
3.3.3 测试补丁 14
3.4 分发补丁 15
3.5 疑难问题解决和记录 16
3.6 补丁检查 17
3.7 制订补丁清单列表 17
3.8 小结 18
4 补丁管理工具 18
4.1 Windows 补丁管理工具 18
4.1.1 Windows Update 18
4.1.2 Office Update 19
4.1.3 MBSA 20
4.1.4 SUS 21
4.1.5 SMS 22
4.1.6 HFNetChk 23
4.2 Solaris 补丁管理工具 24
4.3 linux 补丁管理工具 25
4.4 综合性补丁管理工具 25
4.4.1 Ecora Patch Manager 3.1 25
4.4.2 LANDesk Patch Manager 8 26
4.4.3 BigFix Patch Manager 27
4.4.4 CLASS 5 AVR 27
4.4.5 Citadel Hercules® Automated Vulnerability Remediation (AVR) 28

1 前言
几年前的时候，补丁管理仅仅是专业安全人士考虑的问题，一般的电脑使用者从来不会想到要打补丁。那时网上的系统基本上也都千疮百孔，因此一个攻击者要攻击一个系统是轻而易举的事情。随着病毒和漏洞的结合，CodeRed、Nimda、SQLSlammer、Blaster等蠕虫对全球的网络甚至经济都造成了严重的影响。之所以这些蠕虫造成这么大的危害，是因为利用了操作系统或者应用程序的漏洞，而消除漏洞的根本办法就是安装补丁。每一次大规模蠕虫的爆发，都在提醒人们要居安思危，打好补丁，做好防范工作。人们也逐渐认识到，补丁管理越来越成为安全的一个重要环节。
很多人都可能会说打补丁是一件很容易的工作：只要从软件厂商的网站下载相应的补丁文件，然后安装说明进行安装就可以了。但是如果是在一个大中型企业内部，终端数目众多，软件应用复杂，打补丁就不是一件容易的事情了。如何有效地打补丁，打好补丁就是我这篇文章的主题。
2 补丁管理的特性
2.1 及时性
随着安全技术的不断发展，安全人员整体技术水平快速提高，从业人员人数也有极大增加。从一个漏洞发现到攻击代码实现，到蠕虫病毒产生，几年前可能是几个月甚至半年多，而现在几周甚至一天就可以完成。特别是近期，在微软发布MS04－011公告时，NGS的David在看到公告的8分钟后写出了攻击代码， Xfocus成员也在6小时内写出了通用的攻击代码。因此补丁管理也就需要有很强的及时性，如果补丁管理工作晚于攻击程序，那么企业就有可能被攻击，造成机密信息泄漏，比如去年9月份发生的Half Life2源代码泄漏事件就是由于企业内部的客户端没有及时打补丁，而导致被IE漏洞攻击，造成重大损失。
下表是曾经发生过重要影响的漏洞（vulnerability）、攻击程序(exploit)、补丁(patch)、蠕虫(worm)之间的时间顺序：
蠕虫名称 利用的漏洞 微软公告 补丁发布时间 攻击代码发现时间 蠕虫出现时间 可以弥补时间
CodeRed IIS Index Server MS01-033 2001.6.18 2001.6.21 2001.7.13 3天/25天
Nimda Unicode漏洞
MIME漏洞 ms00-078
ms01-020 2000.10.20
2001.03.29 2000.10.20
2001.9.18 0天/140天
SQLSlammer SQLServer 2000 Resolution 漏洞 MS02-039 2002.6.24 2002.6.26 2003.01.25 2天/210天
Blaster Windows RPC 漏洞 MS03-026 2003.7.16 2003.7.24 2003.8.13 8天/27天
目前还没有出现 LSASS漏洞 MS04-011 2004.04.13 2004.04.13 不会超过2004.05.5 0天/20天
表一：漏洞、攻击程序、补丁和蠕虫的时间关系
从上面我们可以看出，由于黑客技术的不断积累和发展，留给管理员的时间将会越来越少，在最短的时间内安装补丁将会极大地保护企业地机密，同时也可以使企业免受蠕虫地侵袭。

2.2 严密性
由于补丁是厂商为了修补第3方发现的漏洞而进行的程序更改，迫于用户的压力，厂商一般会尽快发布补丁。比如这次EEYE发布了ASN.1的漏洞，微软6个月之后才发布了补丁就引起了业界的一片哗然。而为了尽早的发布补丁，补丁的测试就会减少，因此补丁的兼容性很容易出问题。特别是针对系统底层的一些补丁，很容易导致应用不能正常运行，甚至系统不能正常启动。日前，微软就承认其发布的MS04-011的补丁存在瑕疵，可引起某些Windows2000系统锁死或者不能启动。还可能出现的情况是，由于测试不够充分，补丁修补了原来的漏洞，但是引入了新的漏洞，又需要发布一个补丁的补丁。因此企业内部如果需要大规模推广补丁之前，一定要针对内部的系统和应用环境做一个严密的测试，否则有可能导致内部的重要系统无法运作，导致了业务的巨大损失。
除了补丁测试需要严密性以外，补丁的推广同样也需要严密的计划，哪些系统需要安装补丁，什么时候开始安装，安装补丁之前需要备份哪些数据，如何制订应急方案都需要一个严密的计划。
2.3 持续性
补丁管理工作不是一蹴而就的，而是一个长期的，持续性的工作。因为随着漏洞的不断被发现，补丁也就会持续不断地发布。因此要求企业的安全管理人员要时刻跟踪厂商的补丁公告和安全公司的安全公告。

3 补丁管理流程
补丁管理是一个系统化的工作，它实施的好坏将直接影响一个企业的总体安全水平，而在整个实施的过程当中又需要协调多方面资源，需要所有IT用户的关注和支持。
本人根据多年来对漏洞的跟踪、补丁的分析和补丁的推广经验，总结出一套补丁管理流程，即现状分析、补丁跟踪、补丁分析、部署安装、疑难处理、补丁检查六个环节，同时由于补丁管理是一个长期、周而复始的工作，因此这六个工作又形成一个环状的流程，其中既有事件驱动工作，也有例行工作。该流程考虑了补丁工作的及时性、严密性和持续性，同时兼顾了补丁对业务的影响，在大型企事业中运作结果较好。补丁流程如下图。

3.1 现状分析
要在一个企业中做好补丁管理工作，首先需要分析信息资产、IT系统环境、IT网络环境和信息资产重要等级，以便下一步有针对性地跟踪企业所需要的补丁和要采取的措施。
IT环境：和系统管理员和网络管理员讨论，确定企业安全策略中当前所使用的操作系统类型和版本、应用软件类型和版本、网络设备类型和版本、以及相应的补丁版本，以前没有打的补丁，原因以及补救办法。内容可见下表：
操作系统（应用） 版本 目前补丁版本 未打补丁 原因 补救措施


表二：软件信息收集表
信息资产重要等级：了解企业的应用状况、掌握目前企业的重要信息资产，根据业务流程的重要程度，确定资产的价值度，然后根据软件版本、补救措施、业务空闲时间等确定打补丁的紧急程度和时间。如下表：
业务流程 资产名称 价值度 用户范围 连接方式 业务空闲时间 系统版本 目前补丁 威胁等级 防护措施
C I A



表三：资产信息表
以上这些信息可以根据企业的具体情况进行分析，比如只收集系统和网络设备状况，根据这些信息跟踪补丁，而把补丁安装工作转给相关的管理员，由他们根据系统的实际情况决定补丁的安装。
3.2 跟踪补丁最新信息
确定了企业目前的IT状况后，就可以根据这些信息跟踪对应软件的补丁。查看补丁的信息来源主要可以分为3大类：
软件厂商：软件厂商是补丁的主要来源，每一次安全补丁的发布，产商都会发布通告。常用的软件补丁网站有：
http://www.microsoft.com/technet/security 微软的安全补丁网站,上面列有漏洞的简要描述、受影响系统和补丁地址。2003年10月份以前，微软每周三发布补丁，现在微软在每月第二个星期二在太平洋时间上午十点到十一点发布补丁。
http://sunsolve.sun.com/pub-cgi/show.pl?target=patchpage Sun的安全补丁网站，上面有Sun提高的补丁管理工具和最新的补丁列表。
http://metalink.oracle.com/ Oracle的安全补丁网站，必须是注册用户才可以下载补丁。
其他产品补丁可以到相应的厂商网站去查找和下载。
安全机构：大部分官方的安全机构会针对一些影响特别大的安全事件进行通告，比如严重的安全漏洞，危害很大的蠕虫病毒等，它的特点是正规可靠。如http://www.cert.org , http://www.cert.org.cn/
安全组织和安全公司：安全组织和安全公司是研究安全的主要力量，他们会对漏洞和补丁进行详细而深入的研究，找出问题和解决办法。这些公告的特点是发布快速、内容详细、方案全面，并且可以知道是否已经或者可以被利用，是技术人员日常工作必不可少的参考网站，比较有名的组织和公司有：
http://www.ngssoftware.com 它是2003年发现漏洞补丁最多的安全公司，对数据库安全和windows安全的研究独树一帜.该公司的David和他弟弟获得了Information Security Magazine的“最佳安全研究员”。
http://www.eeye.com 该公司对Windows 漏洞的研究出神入化，很多windows的严重漏洞都是他们发布的，如最近的asn.1。跟踪windows漏洞和补丁的人不可不看。
http://www.securityfocus.com 该网站原来是发布漏洞的权威网站，被Symantec公司收购，Maillist 不如以前热闹，但还是值得关注，特别是有一些讨论。
http://www.xfocus.net 中国权威的安全组织站点，对漏洞、蠕虫的研究、跟踪和分析比较迅速，提供一些针对性的解决办法和补丁FAQ。
http://www.nsfocus.net 中国对漏洞研究最深的安全公司，有大批的漏洞研究人员，曾发布了多个重大的安全漏洞。
3.3 补丁分析
3.3.1 分析漏洞的影响
在分析补丁之前，我们要先分析一下漏洞，因为只有对漏洞的威胁，成因，严重性进行分析，才能根据这个漏洞和这个漏洞对公司影响制定相应的计划。
在微软的网站TechNet 主页中，微软列出了几种典型的软件漏洞，如下表：
术语 定义
缓冲区溢出 程序中未经检查的缓冲区，可以用新数据覆盖程序代码。如果新的可执行代码覆盖了程序代码，结果就会如攻击者指示的那样更改程序的操作。
权限提高 在某些环境下允许用户或攻击者获得更高的权限。
验证缺陷 允许错误数据产生不可预料的结果。
表四:微软定义的软件漏洞
根据我们的经验，我们认为上面这个分类不是很准确，根据漏洞可能造成的直接威胁，我们把漏洞分成以下几类：
威胁 说明 原因
获取远程管理员权限 攻击者无须一个账号登录到本地直接获得远程系统的管理员权限，通常通过攻击以LocalSystem或者root身份执行的有缺陷的服务或者系统守护进程来完成。 堆栈溢出
提升权限 攻击者具有普通帐号，然后获取管理员权限。 suid程序有问题，竞争条件
获取普通用户访问权限 取得系统的普通用户存取权限，对UNIX类系统通常是shell访问权限，对Windows系统通常是cmd.exe的访问权限，能够以一般用户的身份执行程序，存取文件 CGI调用系统函数没有进行很好限制
信息泄漏 攻击者可以收集到对于进一步攻击系统有用的信息
拒绝服务 攻击者可对系统发起拒绝服务攻击，使系统或相关的应用程序崩溃或失去响应能力 对协议设计或者实现出问题
表五：漏洞定义
在微软的网站，微软把漏洞的严重程度等级进行了定义和分类，如下图：
等级 定义
严重 利用该漏洞可以允许 Internet 蠕虫无需用户操作就可以传播。
重要 利用该漏洞可以危及用户数据的保密性、完整性或可用性，或者危及处理资源的完整性或可用性。
中等 由于默认配置、审核或难以利用等因素，该漏洞的可利用性显著降低。
低 利用该漏洞相当困难，或其影响已降至最低限度。
表六：微软定义的漏洞严重等级
在这个表中，我认为微软的分类不是很合理，需要重新进行考虑。因为微软只考虑到漏洞影响的广度，而没有考虑漏洞影响的深度，突出了蠕虫的影响。这是因为蠕虫的影响对系统的可用性造成了比较大的影响，影响的范围比较广，比较容易引起重视，媒体的报道也长篇累牍。但是有一点，我们往往没有注意到：蠕虫的影响深度是不大的，因为蠕虫基本不会获取或者破坏系统的数据。而事实上，真正对企业发生重大影响的是攻击者通过漏洞盗取机密信息、或者修改数据，由于攻击者水平高超，而企业安全技术人员技术水平相对较低，无法发现这类行为，因此这类威胁不容易被大伙所重视，但是它对企业的影响是非常大的。比如前面所列举的 Half Life2源代码泄漏事件，那仅仅是冰山一角，其他类似的事件根本没有被发现。基于以上原因，我们把这种漏洞作为重点，列为紧急等级，而蠕虫的攻击列为严重级别。并根据我个人的经验，我把各种漏洞的修补时间也列出来，仅供参考：
等级 定义 成因 允许修补时间 修补方式
紧急 利用漏洞可以远程获取管理员权限 堆、栈溢出 2天 用非补丁方式修补，如用防火墙或者限制功能等方式,同时增加监控
严重 攻击程序和病毒结合，形成蠕虫 堆、栈溢出 5-10天 补丁方式修补
中等 获取普通用户访问权限/提升权限/远程拒绝服务 客户端程序堆栈溢出、竞争条件、协议设计 10－30天 限制使用程序、补丁方式
低等 信息泄漏、本地拒绝服务 返回信息过多 30天－90天 补丁方式
表七：漏洞等级定义
每个企业应该根据自己的特殊情况，做一些调整，比如某些企业只需考虑可用性，而不需要考虑太多机密性，那就应该重点关注蠕虫的影响，把蠕虫可能利用的漏洞的重要等级提高。
3.3.2 确定补丁的严重等级
不同的产商对补丁的定义也都有区别，微软目前是做如下定义的：
术语 定义
安全修补程序Security patch 为特定产品广泛发布的修补程序，针对的是某一个安全漏洞。安全修补程序通常描述为有一定的严重度，实际上就是此安全修补程序针对的漏洞的 MSRC 严重程度等级。
重要更新Critical update 为特定问题广泛发布的修补程序，针对的是重要的、与安全无关的缺陷。
更新Update
为特定问题广泛发布的修补程序，针对的是不重要的、与安全无关的缺陷。
修补程序Hotfix 由一个或多个文件组成的单个程序包，用来解决产品中的问题。修补程序针对的是特定的客户环境，仅通过与 Microsoft 的支持关系才可用。如果没有 Microsoft 的书面合法许可，就不能在客户组织外部分发。在过去，术语 QFE（快速修补工程更新）、补丁和更新都用作修补程序的同义词。
更新汇总 Update Rollup 安全修补程序、重要更新、更新和修补程序的集合，可以作为累积更新进行发布，或定位于单个产品组件，如 Microsoft Internet Information Services (IIS) 或 Microsoft Internet Explorer。这是为了更容易地部署多个软件更新。
Service Pack 从产品发布至今，累积的一系列修补程序、安全修补程序、重要更新和更新，包括许多已经解决，但还没有通过任何其他软件更新使之可用的问题。Service Pack 也可能包含少量客户需求的设计更改或功能。Microsoft 在分发和测试 Service Pack 时比任何其他软件更新更广泛。
集成的 Service Pack Integrated service pack 产品与 Service Pack 组合在一个程序包中。
功能包 Feature pack 产品发布的新功能，可以用来添加功能。通常在下一次发布时集成到产品中。
表八：微软定义的补丁定义
除了上面列出的定义外，微软还会使用安全更新（security update）这样的术语，按照我的理解，安全更新应该定义为：为特定产品广泛发布的修补程序，针对的是多个安全漏洞。安全修补程序通常描述为有一定的严重度，实际上就是此安全修补程序针对的最危险漏洞的 MSRC 严重程度等级。由于目前微软规定每个月发布一次公告，因此以后经常会出现一个补丁修复多个漏洞的情况，也就是说经常会出现安全更新包。
而Sun公司分为Patch和Recommended，其中Patch修补单个的安全漏洞，Recommended则是多个patch的集合，而且测试比较稳定，是SUN的推荐包。
通过上面的定义我们可以看到，针对Microsoft的软件系统，从安全角度考虑，我们重点要关注安全修补程序、安全更新、更新汇总、Service Pack。其中安全修补程序是针对特定的某一个安全漏洞的补丁，因此可以参照其对应的漏洞严重等级进行补丁安装；安全更新是针对多个安全漏洞的补丁，因此可以参照其对应的最严重漏洞的严重等级进行补丁安装；更新汇总是安全修补程序、重要更新、更新和修补程序的集合，因此比较适合重新安装系统或者阶段性安装。Service Pack包含了从产品发布至今，累积的一系列修补程序、安全修补程序、重要更新和更新，因此比较适合重新安装系统或者阶段性安装，但是从我的经验上来看，由于Service Pack对系统底层文件改变比较大，经常会和一些涉及底层功能的软件冲突，导致系统兰屏或者不能正常启动，典型的比如Windows 2000的Service Pack 4和Softice、Xilinx 等软件就存在冲突。因此在涉及底层研发的部门推行Service Pack的时候就要考虑这个特殊问题。我们总结如下表：
补丁类别 安装时间
安全修补程序 参照对应漏洞的严重等级
安全更新 参照最严重漏洞的严重等级
更新汇总 系统重新安装后或者阶段性安装
Service Pack 系统重新安装后或者阶段性安装
表九：微软系统补丁安装时间
针对Sun的软件系统，我们也总结如下：
补丁类别 安装时间
Patch 参照对应漏洞的严重等级
Recommended 系统重新安装后或者阶段性安装
表十：sun系统补丁安装时间
根据前面的总结，我们就可以根据产商的安全公告和安全补丁信息，确定符合企业自己的补丁严重等级，制定出补丁的修补计划，包括修补时间、修补方式等。

3.3.3 测试补丁
虽然软件产商在发布补丁前已经对补丁进行了测试，但是测试永远是不充分的，从实际经验来看，目前软件产商为了解决安全问题，都会尽量压制测试补丁时间，而且每个企业都有自己的特殊应用环境，因此补丁往往不稳定，会造成很多未知问题。因此我们必须根据企业的实际应用环境进行补丁测试，以判断该补丁在企业环境下的兼容状况。
补丁测试关键要考虑测试的广泛性、针对性，即能在针对企业的实际情况下尽量充分地测试。测试环境最好能有企业的各种应用，特别是一些关键应用，以便判断该补丁对关键应用的影响。
测试补丁首先要从安全可靠的地方获取补丁软件，推荐是从软件产商网站上下载，如果补丁支持校验，必须进行安全校验，以验证补丁的可靠性,防止补丁被恶意用户篡改。比如sun公司从2002年5月份开始就提供了数字签名的补丁。
在测试补丁的过程中，我们通常会采用下面的表格收集补丁的信息：
项目 说明
补丁名
需要安装的系统
是否需要其他相关补丁
是否覆盖了其他补丁
安装前是否需要其他操作
是否需要重新启动
是否可以卸载
会影响哪些服务
需要多大磁盘空间
替换了哪些文件
其他特殊说明
表十一：补丁信息收集表
同时，我们也用下面的表格记录补丁的测试结果：
机器名 系统环境 典型应用 安装是否正常 重启是否正常 应用是否正常 其他重要事项



表十二：补丁测试结果记录表
如果在测试中发现问题，就要做详细的分析，以判断发生问题的原因，并做及时解决。如果不能解决则需要记录下发生该问题的环境，并进行重复验证，如果确实是该环境和补丁发生冲突，则立即反馈给厂商。
3.4 分发补丁
补丁测试后，如果没有问题，则要根据紧急程度制定分发计划，这里一个关键就是要根据企业的环境分批安装，原则是资产价值大、威胁等级高的系统优先安装（根据表三确定），确定顺序后，提交变更，组织相关人员进行补丁安装。
提交变更时应该提交表十一，同时准备以下内容：
变更内容（附表十一）
第一批安装范围
第一批安装期限
第二批安装范围
第二批安装期限
第三批安装范围
第三批安装期限
不需要安装范围
补丁安装过程中和哪些程序有冲突
如果不能打补丁，可以采取的其他措施
表十三：整体变更计划
提交变更后，组织评审小组（包括安全专家、系统管理员）就变更的必要性、风险和补丁推行计划等问题进行评审。评审通过后，由系统管理员和业务代表根据各系统业务的实际情况协商变更时间，确定每个系统的变更计划。确定变更计划后，每个系统管理员各自提交变更请求进行系统变更，同时记录变更过程中提交的问题。
系统
应用
用户范围
空闲时间
变更时间
变更人员
变更前提
备份内容
应急计划
测试正常性内容
异常情况
表十四：具体系统变更计划
3.5 疑难问题解决和记录
在补丁的安装过程中，由于系统的多样性和负责性，经常会发生很多问题，我们应该时刻记录这些问题，并进行技术分析，以便尽快解决。对于能解决的问题，应该尽快进行总结制定FAQ，以便在公司内部解决同类问题。关于具体解决问题的技术，我将在后面的技术章节里进行详细阐述。对于一些不能解决的问题，可以分为两种情况：
1、 不能安装补丁，这时就需要确定一个临时的解决办法消除漏洞的威胁，或者暂时接受这个风险。
2、 打上补丁系统或者应用不能正常运行，这时就需要采用应急方案，采用备份系统或者卸载补丁，而采用临时解决办法。
同时把这些不能解决的问题可能需要提交产商，在这里存在一个责任的归属问题：由于打补丁出现的问题，厂商应该不应该负责任？目前如果要向微软公司寻求支持解决问题，拨打微软的技术支持电话，则需要付一笔价格不菲的费用。

3.6 补丁检查
为了确认补丁安装情况，需要对安装的系统进行检查。如果采用了工具，则可以通过工具进行全网检查，也可以通过漏洞扫描工具进行检查，否则可以通过自己编写脚本或者人工抽查。
根据我们的经验，由于服务器都是有管理员进行统一管理，所以补丁的安装情况比较好，对于桌面系统，由于是用户自己进行维护，所以经常存在很多补丁没有打的情况，从而导致企业内部千疮百孔，蠕虫滋生。目前很多安全公司如CISCO、Trend Macro，Syagte为了解决这个问题，也推出了很多产品和方案。国内也有一些公司即将在5月份推出产品和方案，由于涉及到某一些企业的机密，在这暂不详述。
3.7 制订补丁清单列表
在推行好补丁之后，就需立即制定补丁清单列表，总结出企业内部系统目前的补丁情况，更新表二的内容为下一次补丁做准备。同时也要更新其他相关文件，比如制作包含最新补丁的系统安装文件、公司内部新装机器的要求等，指导新装机器进行补丁安装。

这样补丁管理的一个周期基本完成，但是在实际过程中，因为蠕虫爆发，就需要加快一些流程，同时配合防病毒技术人员、网络管理员一起进行处理。