【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞
Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。
近期,Supervisord曝出了一个需认证的远程命令执行漏洞(CVE-2017-11610),通过POST请求Supervisord管理界面恶意数据,可以获取服务器操作权限,存在严重的安全风险。
具体详情如下:
漏洞编号:
CVE-2017-11610
漏洞名称:
Supervisord 远程命令执行漏洞
官方评级:
高危
漏洞描述:
利用该漏洞远程POST请求提交Supervisord管理界面恶意数据,可以获取服务器操作权限。
漏洞利用条件和方式:
- 利用条件:
- Supervisor版本在受影响范围内
- Supervisor 9001管理端口并可以被外网访问
- Supervisor未配置密码或为弱密码
- 利用方式:远程利用
漏洞影响范围:
- Supervisor version 3.1.2
- Supervisor version 3.3.2
漏洞检测:
开发人员自查Supervisor版本是否在受影响范围内。
漏洞修复建议(或缓解措施):
1.如果不需要使用该服务软件,建议关停卸载该软件,同时检查服务器上是否存在不正常的进程、或异常账号,确保服务器运行正常;
2.如需使用该服务软件,建议卸载后,重新安装升级到官方最新3.3.3版本,重新安装前建议快照或备份数据;
3.由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击,阿里云用户可以使用ECS安全组策略屏蔽公网入、内网入方向的9001端口;
4.为Supervisor配置RPC登录认证强密码,建议密码至少8位以上,包括大小写字母、数字、特殊字符等混合体。
情报来源:
- https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
