【漏洞预警】Supervisor远程命令执行漏洞

尊敬的用户:

10年积累的成都做网站网站建设经验,可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你,你也不认识我。但先网站设计后付款的网站建设流程,更有麒麟免费网站建设让你可以放心的选择与我们合作。

您好,Supervisor官方披露了编号为CVE-2017-11610的Supervisor远程命令执行漏洞。在一定场景下(RPC端口可被访问且存在弱口令),攻击者可利用该漏洞发送恶意XML-RPC请求进而获取服务器的操作权限。

为避免您的业务受影响,创新互联建站建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:

【漏洞概述】

Supervisor是用Python开发的一个client/server服务,是Linux/Unix系统下的一个进程管理工具。部署了Supervisor的服务器,如果满足以下三个条件,攻击者将能通过发送恶意XML-RPC请求,远程执行恶意命令,进而获取服务器的操作权限(在某些场景下,攻击者最高可获取root权限):

1) Supervisor版本在受影响的范围内(从3.0a1起至官方发布安全版本之前的所有版本)

2) RPC端口可被访问(默认配置下,外部无法访问)

3) RPC未设置密码或存在弱口令。

【漏洞编号】

CVE-2017-11610

【风险等级】

高风险

【漏洞影响】

借助此漏洞,在一定场景下,攻击者将能通过发送恶意XML-RPC请求,远程执行恶意命令,进而获取服务器的操作权限

【影响范围】

从3.0a1起除以下安全版本外所有版本的Supervisor

安全版本:

Supervisor 3.3.3

Supervisor 3.2.4

Superivsor 3.1.4

Supervisor 3.0.1

【检测方法】

自行检查使用的Supervisor版本是否在受影响范围内

【修复建议】

1.如果不需要使用该服务软件,建议关停卸载该软件,同时检查服务器上是否存在不正常的进程、或异常账号,确保服务器运行正常;

2.如需使用该服务软件,建议卸载后,重新安装升级到官方最新3.3.3版本,重新安装前建议通过抓取私有镜像和云硬盘快照来备份系统和数据;

3.由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击,用户可以使用安全组策略屏蔽公网入、内网入方向的9001端口;

4.为Supervisor配置RPC登录认证强密码,建议密码至少8位以上,包括大小写字母、数字、特殊字符等混合体。

【相关参考】

https://github.com/Supervisor/supervisor/issues/964

https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html


分享标题:【漏洞预警】Supervisor远程命令执行漏洞
网址分享:http://pwwzsj.com/article/sdiip.html