阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 4365阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞

级别: 论坛版主
发帖
241
云币
478
Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。 9Rd& Jq^  
近期,Supervisord曝出了一个需认证的远程命令执行漏洞(CVE-2017-11610),通过POST请求Supervisord管理界面恶意数据,可以获取服务器操作权限,存在严重的安全风险。 BL[N  
具体详情如下: 9,c_(%C  

zN3b`K. i  
漏洞编号:   +S6(Fvp  
CVE-2017-11610 R(AS$<p{!>  
漏洞名称: h"3Mj*s  
Supervisord 远程命令执行漏洞 M~ eXC  
官方评级: +=MN_  
高危 OaeX:r+&Q  
漏洞描述: Q&]f9j_  
利用该漏洞远程POST请求提交Supervisord管理界面恶意数据,可以获取服务器操作权限。 hZ`<ID  
漏洞利用条件和方式:   E^4}l2m_  
  • 利用条件:
  • Supervisor版本在受影响范围内
  • Supervisor 9001管理端口并可以被外网访问
  • Supervisor未配置密码或为弱密码
  • 利用方式:远程利用
w&[&ZDsK  
漏洞影响范围:   lx\9Y8  
  • Supervisor version 3.1.2
  • Supervisor version 3.3.2
\)`OEGdOR\  
漏洞检测: Lm3~< vP1e  
开发人员查Supervisor版本是否在受影响范围内。 oH='\M%+  
漏洞修复建议(或缓解措施):   38#Zlc f  
1.如果不需要使用该服务软件,建议关停卸载该软件,同时检查服务器上是否存在不正常的进程、或异常账号,确保服务器运行正常; l=PZlH y1G  
2.如需使用该服务软件,建议卸载后,重新安装升级到官方最新3.3.3版本,重新安装前建议快照或备份数据; \k 6'[ln  
3.由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击,阿里用户可以使用ECS安全组策略屏蔽公网入、内网入方向的9001端口; b[KZJLZ)  
4.为Supervisor配置RPC登录认证强密码,建议密码至少8位以上,包括大小写字母、数字、特殊字符等混合体。 e|}B;<  
情报来源:   ^).  
  • https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html
+ l hJ8&  
[ 此帖被正禾在2017-08-04 17:55重新编辑 ]
级别: 论坛版主
发帖
1966
云币
4134
只看该作者 沙发  发表于: 2017-08-06
还好,没用过
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)