【漏洞预警】Supervisor 远程命令执行漏洞

2017-08-07 12:02:28
Dear user
您好,Supervisor官方披露了编号为CVE-2017-11610的Supervisor远程命令执行漏洞。在一定场景下(RPC端口可被访问且存在弱口令),攻击者可利用该漏洞发送恶意XML-RPC请求进而获取服务器的操作权限。

为避免您的业务受影响,京东云建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:

【漏洞概述】
Supervisor是用Python开发的一个client/server服务,是Linux/Unix系统下的一个进程管理工具。部署了Supervisor的服务器,如果满足以下三个条件,攻击者将能通过发送恶意XML-RPC请求,远程执行恶意命令,进而获取服务器的操作权限(在某些场景下,攻击者最高可获取root权限):
1) Supervisor版本在受影响的范围内(从3.0a1起至官方发布安全版本之前的所有版本)
2) RPC端口可被访问(默认配置下,外部无法访问)
3) RPC未设置密码或存在弱口令。

【漏洞编号】
CVE-2017-11610

【风险等级】
高风险

【漏洞影响】
借助此漏洞,在一定场景下,攻击者将能通过发送恶意XML-RPC请求,远程执行恶意命令,进而获取服务器的操作权限

【影响范围】
从3.0a1起除以下安全版本外所有版本的Supervisor

安全版本:
Supervisor 3.3.3
Supervisor 3.2.4
Superivsor 3.1.4
Supervisor 3.0.1

【检测方法】
自行检查使用的Supervisor版本是否在受影响范围内

【修复建议】
1.如果不需要使用该服务软件,建议关停卸载该软件,同时检查服务器上是否存在不正常的进程、或异常账号,确保服务器运行正常;
2.如需使用该服务软件,建议卸载后,重新安装升级到官方最新3.3.3版本,重新安装前建议通过抓取私有镜像和云硬盘快照来备份系统和数据;
3.由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击,用户可以使用安全组策略屏蔽公网入、内网入方向的9001端口;
4.为Supervisor配置RPC登录认证强密码,建议密码至少8位以上,包括大小写字母、数字、特殊字符等混合体。

【相关参考】
https://github.com/Supervisor/supervisor/issues/964
https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html

JD Cloud team

2017-08-07 12:02:28

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×