尊敬的用戶：

10年積累的成都做網(wǎng)站、網(wǎng)站建設(shè)經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認識你，你也不認識我。但先網(wǎng)站設(shè)計后付款的網(wǎng)站建設(shè)流程，更有麒麟免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

您好，Supervisor官方披露了編號為CVE-2017-11610的Supervisor遠程命令執(zhí)行漏洞。在一定場景下（RPC端口可被訪問且存在弱口令），攻擊者可利用該漏洞發(fā)送惡意XML-RPC請求進而獲取服務(wù)器的操作權(quán)限。

為避免您的業(yè)務(wù)受影響，創(chuàng)新互聯(lián)建站建議您及時開展自查，并盡快完成升級更新，詳細參見如下指引說明：

【漏洞概述】

Supervisor是用Python開發(fā)的一個client/server服務(wù)，是Linux/Unix系統(tǒng)下的一個進程管理工具。部署了Supervisor的服務(wù)器，如果滿足以下三個條件，攻擊者將能通過發(fā)送惡意XML-RPC請求，遠程執(zhí)行惡意命令，進而獲取服務(wù)器的操作權(quán)限（在某些場景下，攻擊者最高可獲取root權(quán)限）：

1） Supervisor版本在受影響的范圍內(nèi)（從3.0a1起至官方發(fā)布安全版本之前的所有版本）

2） RPC端口可被訪問（默認配置下，外部無法訪問）

3） RPC未設(shè)置密碼或存在弱口令。

【漏洞編號】

CVE-2017-11610

【風(fēng)險等級】

高風(fēng)險

【漏洞影響】

借助此漏洞，在一定場景下，攻擊者將能通過發(fā)送惡意XML-RPC請求，遠程執(zhí)行惡意命令，進而獲取服務(wù)器的操作權(quán)限

【影響范圍】

從3.0a1起除以下安全版本外所有版本的Supervisor

安全版本：

Supervisor 3.3.3

Supervisor 3.2.4

Superivsor 3.1.4

Supervisor 3.0.1

【檢測方法】

自行檢查使用的Supervisor版本是否在受影響范圍內(nèi)

【修復(fù)建議】

1.如果不需要使用該服務(wù)軟件，建議關(guān)停卸載該軟件，同時檢查服務(wù)器上是否存在不正常的進程、或異常賬號，確保服務(wù)器運行正常;

2.如需使用該服務(wù)軟件，建議卸載后，重新安裝升級到官方最新3.3.3版本，重新安裝前建議通過抓取私有鏡像和云硬盤快照來備份系統(tǒng)和數(shù)據(jù);

3.由于該漏洞利用Supervisor開放的9001管理端口發(fā)起遠程攻擊，用戶可以使用安全組策略屏蔽公網(wǎng)入、內(nèi)網(wǎng)入方向的9001端口；

4.為Supervisor配置RPC登錄認證強密碼，建議密碼至少8位以上，包括大小寫字母、數(shù)字、特殊字符等混合體。

【相關(guān)參考】

https://github.com/Supervisor/supervisor/issues/964

https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html

網(wǎng)頁名稱：【漏洞預(yù)警】Supervisor遠程命令執(zhí)行漏洞
網(wǎng)站路徑：http://aaarwkj.com/article8/sdiip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、微信小程序、標簽優(yōu)化、服務(wù)器托管、App設(shè)計、網(wǎng)頁設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)