目前,阿里云应急响应中心已经发布相关漏洞补丁,修复了一处远程命令执行漏洞。不得不说阿里云的安全应急非常的及时,避免的用户进一步的损失
01 漏洞描述
JumpServer 是世界上第一个完全开放源码的屏障机器,使用 GNUGPLv2.0 开放源码协议,符合 4A 专业操作和维护审核系统。JumpServer 是使用 Python/Django 开发的。2021 年 1 月 15 日,Ariyun 紧急反应中心监视了对开源屏障机器 JumpServer 的更新发布,修复了远程命令执行漏洞。由于某些 JumpServer 接口不施加授权限制,攻击者可以构造恶意请求,从日志文件中获取敏感信息,或者执行相关的 Api 操作来控制所有这些机器并执行任意命令。阿里云应急中心提醒 JumpServer 用户尽快采取安全措施,防止漏洞攻击。
02 受影响版本
JumpServer<v2.6.2
JumpServer<v2.5.4
JumpServer<v2.4.5
JumpServer=v1.5.9
03 安全版本
JumpServer>=v2.6.2
JumpServer>=v2.5.4
JumpServer>=v2.4.5
04 安全建议
- 将 JumpServer 升级到最新版本。
- 设置当前产品的控制台登录 Ip 地址白名单限制。
05 相关链接
附临时修复方案
1 2
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册
社交帐号登录