您所在的位置: 首頁 >
安全研究 >
安全通告 >
Jumpserver受控服務(wù)器任意命令執(zhí)行漏洞
報告編號:B6-2021-011802
報告來源:360CERT
報告作者:360CERT
更新日期:2021-01-18
0x01漏洞簡述
2021年01月18日,360CERT監(jiān)測發(fā)現(xiàn)Jumpserver發(fā)布了遠程命令執(zhí)行漏洞的風險通告,漏洞等級:高危,漏洞評分:8.5。
Jumpserver中存在一處受控服務(wù)器遠程任意命令執(zhí)行漏洞,該漏洞由多處漏洞導致。
對此,360CERT建議廣大用戶好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
0x02風險等級
360CERT對該漏洞的評定結(jié)果如下
0x03修復(fù)建議
通用修補建議
升級到以下安全版本
->= v2.6.2
->= v2.5.4
->= v2.4.5
-= v1.5.9(版本號沒變)
-< v1.5.3
臨時修補建議
修改 nginx 配置文件屏蔽收到影響的接口
jumpservernginx 配置文件位置
0x04相關(guān)空間測繪數(shù)據(jù)
360安全大腦-Quake網(wǎng)絡(luò)空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪,發(fā)現(xiàn)Jumpserver具體分布如下圖所示。
0x05產(chǎn)品側(cè)解決方案
360城市級網(wǎng)絡(luò)安全監(jiān)測服務(wù)
360CERT的安全分析人員利用360安全大腦的QUAKE資產(chǎn)測繪平臺(quake.#),通過資產(chǎn)測繪技術(shù)的方式,對該漏洞進行監(jiān)測。
360安全分析響應(yīng)平臺
360安全大腦的安全分析響應(yīng)平臺通過網(wǎng)絡(luò)流量檢測、多傳感器數(shù)據(jù)融合關(guān)聯(lián)分析手段,對該類漏洞的利用進行實時檢測和阻斷。
0x06時間線
2021-01-15 Jumpserver官方發(fā)布漏洞通告
2021-01-18 360CERT發(fā)布通告
0x07參考鏈接
1、 Jumpserver緊急BUG修復(fù)通知
https://github.com/jumpserver/jumpserver/commit/4b9ed47cdaa253a64dad493df10ef603e58c2950
原文來源:360CERT