欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 811|回复: 2

[安全通知] 【漏洞预警】关于Supervisor远程命令执行漏洞通知

[复制链接]

146

主题

0

好友

9243

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
21210
威望
9243
发表于 2017-8-4 18:30:58 |显示全部楼层
尊敬的腾讯云客户:
   您好!腾讯云安全中心监测到Supervisor官方披露了编号为CVE-2017-11610Supervisor远程命令执行漏洞在一定场景下(RPC端口可被访问且存在弱口令),攻击者可利用该漏洞发送恶意XML-RPC请求进而获取服务器的操作权限,当前评级为中危
      
      为避免您的业务受影响,请您及时开展安全自查确认是否受影响,如在受影响范围,请及时采取相应修复措施进行修复,漏洞详情如下:

【漏洞概述】
  Supervisor是用Python开发的一个client/server服务,是Linux/Unix系统下的一个进程管理工具。部署了Supervisor的服务器,如果满足以下三个条件,攻击者将能通过发送恶意XML-RPC请求,远程执行恶意命令,进而获取服务器的操作权限(在某些场景下,攻击者最高可获取root权限):
1) Supervisor版本在受影响的范围内(从3.0a1起至官方发布安全版本之前的所有版本)
2)RPC端口可被访问(默认配置下,外部无法访问)
3) RPC未设置密码或存在弱口令。

【风险等级】
  中风险

【漏洞风险】
  借助此漏洞,在一定场景下,攻击者将能通过发送恶意XML-RPC请求,远程执行恶意命令,进而获取服务器的操作权限;

【影响版本】
  该漏洞影响从3.0a1起所有版本的Supervisor;

【安全版本】
目前官方已发布不受本次漏洞影响的安全版本安全版本信息参考如下
Supervisor 3.3.3
Supervisor 3.2.4
Superivsor 3.1.4
Supervisor 3.0.1

【修复建议】
1. 升级Supervisor
卸载并重新安装最新版本,即将Supervisor升级到相关分支的最新版本:
Supervisor 3.3.3(https://pypi.python.org/pypi/supervisor/3.3.3
2. 加强RPC端口外部访问控制,您也可以使用腾讯云提供的安全组策略来限制外部到Supervisor9001端口的入向访问策略。
3. 设置高强度RPC密码;

【漏洞参考】


2017/8/4

0

主题

0

好友

802

积分

程序猿[LV2]

Rank: 2Rank: 2

云币
1543
威望
802
发表于 2017-8-6 21:07:06 |显示全部楼层
收到                                    
回复

使用道具 举报

0

主题

0

好友

80

积分

小白[LV1]

Rank: 1

云币
190
威望
80
发表于 5 天前 |显示全部楼层
加强RPC端口外部访问控制
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2017-9-21 07:43 , Processed in 0.159263 second(s), 28 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部