【漏洞预警】Supervisor远程命令执行漏洞
尊敬的用户:
10年积累的成都做网站、网站建设经验,可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你,你也不认识我。但先网站设计后付款的网站建设流程,更有麒麟免费网站建设让你可以放心的选择与我们合作。您好,Supervisor官方披露了编号为CVE-2017-11610的Supervisor远程命令执行漏洞。在一定场景下(RPC端口可被访问且存在弱口令),攻击者可利用该漏洞发送恶意XML-RPC请求进而获取服务器的操作权限。
为避免您的业务受影响,创新互联建站建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:
【漏洞概述】
Supervisor是用Python开发的一个client/server服务,是Linux/Unix系统下的一个进程管理工具。部署了Supervisor的服务器,如果满足以下三个条件,攻击者将能通过发送恶意XML-RPC请求,远程执行恶意命令,进而获取服务器的操作权限(在某些场景下,攻击者最高可获取root权限):
1) Supervisor版本在受影响的范围内(从3.0a1起至官方发布安全版本之前的所有版本)
2) RPC端口可被访问(默认配置下,外部无法访问)
3) RPC未设置密码或存在弱口令。
【漏洞编号】
CVE-2017-11610
【风险等级】
高风险
【漏洞影响】
借助此漏洞,在一定场景下,攻击者将能通过发送恶意XML-RPC请求,远程执行恶意命令,进而获取服务器的操作权限
【影响范围】
从3.0a1起除以下安全版本外所有版本的Supervisor
安全版本:
Supervisor 3.3.3
Supervisor 3.2.4
Superivsor 3.1.4
Supervisor 3.0.1
【检测方法】
自行检查使用的Supervisor版本是否在受影响范围内
【修复建议】
1.如果不需要使用该服务软件,建议关停卸载该软件,同时检查服务器上是否存在不正常的进程、或异常账号,确保服务器运行正常;
2.如需使用该服务软件,建议卸载后,重新安装升级到官方最新3.3.3版本,重新安装前建议通过抓取私有镜像和云硬盘快照来备份系统和数据;
3.由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击,用户可以使用安全组策略屏蔽公网入、内网入方向的9001端口;
4.为Supervisor配置RPC登录认证强密码,建议密码至少8位以上,包括大小写字母、数字、特殊字符等混合体。
【相关参考】
https://github.com/Supervisor/supervisor/issues/964
https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html
新闻名称:【漏洞预警】Supervisor远程命令执行漏洞
标题来源:http://scyanting.com/article/sdiip.html