生成安全补丁推荐清单

幂简官方

198 浏览

18 试用

5 购买

Sep 25, 2025更新

生成指定软件或系统的10个安全补丁推荐清单。

以下为针对 Windows 10 的10个高优先级安全补丁（均为微软已公开的安全更新）。说明包含核心漏洞、影响与建议。注意：这些补丁的修复已被后续“累积更新”包含并替代；若系统持续安装每月累积更新，相关修复通常已在位。请按自身所运行的具体版本（如 22H2、21H2 等）在 WSUS/SCCM/Intune 中以 CVE 基线核对合规性。

KB5004945（PrintNightmare）

漏洞：CVE-2021-34527（关联 CVE-2021-1675），Windows Print Spooler 远程代码执行/提权
风险：可通过打印后台处理程序实现远程代码执行或权限提升
建议：优先级最高的历史补丁之一；在域环境中同时执行打印后台进程加固（限制指向远程打印驱动安装、启用 Point and Print 限制）

KB4551762（SMBGhost/SMBv3）

漏洞：CVE-2020-0796，SMBv3 压缩处理远程代码执行
风险：网络可达的主机可能被未经授权远程执行代码
建议：确保所有 Windows 10 设备已通过后续累积更新包含该修复；同时在网络层面限制对 445/TCP 的暴露

KB5005565（MSHTML/ActiveX）

漏洞：CVE-2021-40444，MSHTML 远程代码执行（通过恶意 Office 文档）
风险：用户打开文档即可触发 RCE
建议：补丁覆盖 IE/Trident 渲染链路；同时在 Office 层面启用“受保护视图”，阻断未受信来源的宏与 ActiveX

KB5017308（MSDT“DogWalk”）

漏洞：CVE-2022-34713，MSDT 路径遍历与代码执行
风险：恶意文件触发 MSDT 执行
建议：安装补丁并在策略中禁用不必要的 MSDT 调用；对电子邮件与浏览器下载实施 MOTW/ASR 规则

KB5012599（RPC 运行时）

漏洞：CVE-2022-26809，Windows RPC 远程代码执行
风险：网络可达 RPC 接口导致 RCE
建议：补丁后仍建议网络隔离与基于主机的防火墙规则限制 RPC；对公开服务端口进行访问控制列表（ACL）

KB4601319（TCP/IP 栈）

漏洞：CVE-2021-24086 等一组 TCP/IP 栈漏洞（包含 RCE/DoS）
风险：通过网络数据包触发栈级漏洞
建议：确保当月（及后续）累积更新已部署；在边界设备进行异常包检测与分段隔离

KB5005413（SeriousSAM/HiveNightmare）

漏洞：CVE-2021-36934，默认 ACL 导致 SAM/SECURITY/DEFAULT 注册表 Hive 可被低权限读取
风险：可提取密码哈希并实现权限提升/横向移动
建议：安装补丁并核查系统卷影副本访问控制；启用 LSA 保护、最小权限与凭据防护

KB5003173（HTTP Protocol Stack）

漏洞：CVE-2021-31166，HTTP.sys 远程代码执行
风险：通过特制 HTTP 请求触发 RCE
建议：除安装补丁外，禁用不必要的内置 HTTP 服务，采用反向代理/边界 WAF 过滤

KB5009543（Win32k 提权）

漏洞：CVE-2022-21882，Win32k 本地权限提升（在野利用）
风险：本地低权限进程可提权至 SYSTEM
建议：及时安装；同时启用 Attack Surface Reduction（ASR）与应用控制（WDAC）减少本地提权面

KB5023696（SmartScreen/MOTW 绕过）

漏洞：CVE-2023-24880，SmartScreen 安全功能绕过（Mark-of-the-Web）
风险：绕过下载文件的来源标记与警告，提升投递成功率
建议：安装补丁并在浏览器与邮件网关强制添加 MOTW；使用 ASR 规则阻断从互联网下载的可执行内容

实施与核验建议：

版本策略：优先将 Windows 10 统一至受支持的最新版本（如 22H2），并保持每月“累积更新”自动或受管分发。
合规核验：在 WSUS/SCCM/Intune 或漏洞扫描器中按 CVE 检查修复状态；由于累积更新会替代旧 KB，建议以“CVE 存在/不存在”为准而非单一 KB。
变更控制：对高风险组件（Print Spooler、SMB、RPC、MSDT、HTTP.sys）执行额外策略加固与网络隔离，减少即使已打补丁后仍可能的攻击面。
验证命令：可通过 PowerShell Get-HotFix 查看近期累积更新是否到位；并核对系统构建号与微软发布说明对应的修复列表。

Below are 10 high-priority security patches to apply on Ubuntu Server 20.04. Each item identifies the affected component, key CVE(s), the risk addressed, and the package(s) to update. Apply them from Ubuntu’s official repositories, and ensure Extended Security Maintenance (Ubuntu Pro/ESM) is enabled since Ubuntu 20.04’s standard support ended in April 2025.

General update guidance:

Enable ESM for continued security updates: sudo pro attach && sudo pro enable esm-apps esm-infra
Refresh and apply updates: sudo apt update && sudo apt full-upgrade
Reboot after kernel updates: sudo reboot
Verify status: ubuntu-security-status and apt list --upgradable

Recommended patches:

polkit (pkexec) – CVE-2021-4034 “PwnKit”

Risk: Local privilege escalation to root via pkexec.
Packages: policykit-1 (polkit).
Action: sudo apt install --only-upgrade policykit-1

sudo – CVE-2021-3156 “Baron Samedit”

Risk: Local privilege escalation via heap-based overflow in sudo.
Packages: sudo.
Action: sudo apt install --only-upgrade sudo

GNU C Library (glibc) – CVE-2023-4911 “Looney Tunables”

Risk: Local privilege escalation via environment variable processing.
Packages: libc6 and related glibc packages.
Action: sudo apt install --only-upgrade libc6

Linux kernel – CVE-2022-0847 “Dirty Pipe”

Risk: Local privilege escalation and arbitrary file overwrites in affected kernels (notably HWE kernels ≥5.8).
Packages: linux-image-generic, linux-image-generic-hwe-20.04, specific linux-image-, linux-modules-.
Action: sudo apt install --only-upgrade linux-image-generic linux-image-generic-hwe-20.04 (then reboot)

Linux kernel – CVE-2023-0386 (OverlayFS)

Risk: Local privilege escalation via OverlayFS improperly handling user namespaces.
Packages: linux-image-* and modules as above.
Action: Update kernel as in item 4 (then reboot)

Linux kernel – CVE-2023-32233 (netfilter)

Risk: Local privilege escalation via use-after-free in nf_tables.
Packages: linux-image-* and modules as above.
Action: Update kernel as in item 4 (then reboot)

OpenSSH – CVE-2023-38408 (ssh-agent PKCS#11)

Risk: Potential remote code execution when ssh-agent is exposed and PKCS#11/Smartcard providers are used.
Packages: openssh-server, openssh-client.
Action: sudo apt install --only-upgrade openssh-server openssh-client

OpenSSL – CVE-2022-0778 (BN_mod_sqrt infinite loop)

Risk: DoS via malicious X.509 certificate parsing; affects OpenSSL 1.1.1 variants.
Packages: openssl, libssl1.1 (and related libssl packages).
Action: sudo apt install --only-upgrade openssl libssl1.1

curl/libcurl – CVE-2023-38545 and CVE-2023-38546

Risk: Heap overflow (SOCKS5) and cookie disclosure; exploitable in specific proxy/use contexts.
Packages: curl, libcurl4.
Action: sudo apt install --only-upgrade curl libcurl4

networkd-dispatcher – CVE-2022-29799 and CVE-2022-29800 “Nimbuspwn”

Risk: Local privilege escalation via symlink race and path traversal.
Packages: networkd-dispatcher.
Action: sudo apt install --only-upgrade networkd-dispatcher

Operational recommendations:

Use unattended upgrades: sudo apt install unattended-upgrades && sudo dpkg-reconfigure unattended-upgrades
Pin HWE kernel stream if you use newer hardware: ensure linux-image-generic-hwe-20.04 is installed and kept updated.
Audit patch coverage: review Ubuntu Security Notices (USNs) for each package and confirm installation dates with /var/log/dpkg.log.

These patches cover widely exploited or high-impact vulnerabilities on Ubuntu 20.04. Ensure all dependencies are updated from supported repositories and reboot after kernel updates to activate fixes.

以下は、Debian 11 (bullseye、現在はLTS対象) 環境で優先度が高い推奨セキュリティパッチの例10件です。各項目は適用対象パッケージ、主要CVE、影響、推奨対応を示します。適用は、bullseye-security (およびLTSリポジトリ) から提供される最新修正へ更新することを前提とします。

glibc (libc6)

CVE: CVE-2023-4911 (“Looney Tunables”)
影響: GLIBC_TUNABLES処理におけるバッファオーバーフローによりローカル権限昇格の可能性
推奨対応: libc6 を最新のセキュリティ版へ更新例: apt-get install --only-upgrade libc6

OpenSSH (openssh-server)

CVE: CVE-2024-6387 (“regreSSHion”)
影響: sshdのシグナルハンドラ競合により、特定条件下でリモートからコード実行・サービス障害の可能性
推奨対応: openssh-server を最新のセキュリティ版へ更新例: apt-get install --only-upgrade openssh-server

Linux カーネル (linux-image-*)

CVE: CVE-2022-0847 (“Dirty Pipe”)
影響: ローカルユーザによるroot権限取得につながる可能性
推奨対応: 該当アーキテクチャの linux-image パッケージを最新のセキュリティ版へ更新例: apt-get install --only-upgrade linux-image-amd64

libwebp

CVE: CVE-2023-4863
影響: ヒープバッファオーバーフロー。libwebpを利用するブラウザ/ビューア/変換ツール経由でコード実行の可能性
推奨対応: libwebp を最新のセキュリティ版へ更新例: apt-get install --only-upgrade libwebp

curl / libcurl

CVE: CVE-2023-38545, CVE-2023-38546
影響: SOCKS5処理のヒープオーバーフロー、Cookie注入等により情報漏えい・コード実行の可能性
推奨対応: curl および libcurl4 を最新のセキュリティ版へ更新例: apt-get install --only-upgrade curl libcurl4

polkit (policykit-1)

CVE: CVE-2021-4034 (“PwnKit”)
影響: ローカル権限昇格 (root)
推奨対応: policykit-1 を最新のセキュリティ版へ更新例: apt-get install --only-upgrade policykit-1

sudo

CVE: CVE-2021-3156 (“Baron Samedit”)
影響: ヒープベースのバッファオーバーフローによりローカル権限昇格
推奨対応: sudo を最新のセキュリティ版へ更新例: apt-get install --only-upgrade sudo

OpenSSL (openssl / libssl1.1)

CVE: CVE-2022-0778
影響: 証明書解析の無限ループによりDoS。TLS/証明書処理系の可用性低下
推奨対応: openssl および libssl1.1 を最新のセキュリティ版へ更新例: apt-get install --only-upgrade openssl libssl1.1

BIND 9 (bind9)

CVE: CVE-2022-3094 ほか (DoS関連)
影響: 特定クエリ処理に起因するサービス障害。DNS基盤の可用性低下
推奨対応: bind9 を最新のセキュリティ版へ更新例: apt-get install --only-upgrade bind9

Nginx (nginx)

CVE: CVE-2023-44487 (“HTTP/2 Rapid Reset”)
影響: HTTP/2の急速リセット乱発によるDoS攻撃。公開Webサービスの可用性低下
推奨対応: nginx (必要に応じて libnghttp2-14) を最新のセキュリティ版へ更新例: apt-get install --only-upgrade nginx libnghttp2-14

運用上の注意:

セキュリティリポジトリが有効であることを確認する。例: /etc/apt/sources.list に「deb http://deb.debian.org/debian-security bullseye-security main」
適用前に影響範囲を評価し、再起動が必要なパッケージ（Linuxカーネル、OpenSSH 等）はメンテナンス時間帯に計画的に更新する。
自動適用には unattended-upgrades の活用を検討する。例: apt-get install unattended-upgrades; dpkg-reconfigure unattended-upgrades
実環境で稼働していないパッケージには更新を適用しない（最小権限・最小構成の原則）。

解决的问题

为安全与运维团队快速生成面向指定软件或系统的10条安全补丁建议清单，以清晰、客观、结构化的表达呈现关键信息，帮助缩短漏洞暴露时间、加速补丁决策与落地、降低合规风险，并支持多语言输出以便跨团队协作和对外沟通。

适用用户

企业IT运维经理

快速制定每月补丁计划，明确优先级与维护窗口；将清单直接转为工单流转，减少跨部门沟通成本；用多语言报告向业务与管理层同步进度。

安全工程师/安全分析师

针对指定系统生成10条可执行补丁建议，评估覆盖面与残余风险；用于漏洞响应会议与修复跟踪，提升处置效率与闭环质量。

合规与审计负责人

将补丁推荐对照法规条款，识别必须更新项；生成审计要点与证据要求，缩短整改周期，降低合规风险与外部审查压力。

特征总结

• 轻松为指定软件或系统生成补丁清单，并给出可执行的更新建议与次序

• 一键调用即得10条推荐补丁，含影响范围与优先级，支持快速决策与落地

• 自动关联合规要求，提示必要更新与审计要点，降低违规与罚款风险

• 结合常见攻击路径说明补丁覆盖面，标注残余风险，帮助制定加固方案

• 输出采用清晰技术写作风格，多语言可选，便于跨团队沟通与复盘

• 支持按行业与规模定制参数，生成更贴近业务的补丁策略与实施建议

• 自动精炼信息并结构化呈现，适配工单、变更记录与管理报表的直接使用

• 与变更管理节奏相衔接，附升级步骤与注意事项，减少停机与回滚概率

• 快速对比现有版本与已知风险点，给出优先加固路径与资源投入建议

• 持续使用可沉淀补丁知识库，提升响应速度与稳定性，形成可复制经验

如何使用购买的提示词模板

1. 直接在外部 Chat 应用中使用

将模板生成的提示词复制粘贴到您常用的 Chat 应用（如 ChatGPT、Claude 等），即可直接对话使用，无需额外开发。适合个人快速体验和轻量使用场景。

2. 发布为 API 接口调用

把提示词模板转化为 API，您的程序可任意修改模板参数，通过接口直接调用，轻松实现自动化与批量处理。适合开发者集成与业务系统嵌入。

3. 在 MCP Client 中配置使用

在 MCP client 中配置对应的 server 地址，让您的 AI 应用自动调用提示词模板。适合高级用户和团队协作，让提示词在不同 AI 工具间无缝衔接。

AI 提示词价格

￥10.00元

先用后买，用好了再付款，超安全！

在线免费用提示词

您购买后可以获得什么

✓

获得完整提示词模板

- 共 256 tokens

- 2 个可调节参数

{ 软件或系统名称 } { 输出语言 }

✓

获得社区贡献内容的使用权

- 精选社区优质案例，助您快速上手提示词

购买

生成安全补丁推荐清单

解决的问题