【漏洞预警】Supervisor远程命令执行漏洞

尊敬的用户：

10年积累的成都做网站、网站建设经验，可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你，你也不认识我。但先网站设计后付款的网站建设流程，更有麒麟免费网站建设让你可以放心的选择与我们合作。

您好，Supervisor官方披露了编号为CVE-2017-11610的Supervisor远程命令执行漏洞。在一定场景下（RPC端口可被访问且存在弱口令），攻击者可利用该漏洞发送恶意XML-RPC请求进而获取服务器的操作权限。

为避免您的业务受影响，创新互联建站建议您及时开展自查，并尽快完成升级更新，详细参见如下指引说明：

【漏洞概述】

Supervisor是用Python开发的一个client/server服务，是Linux/Unix系统下的一个进程管理工具。部署了Supervisor的服务器，如果满足以下三个条件，攻击者将能通过发送恶意XML-RPC请求，远程执行恶意命令，进而获取服务器的操作权限（在某些场景下，攻击者最高可获取root权限）：

1） Supervisor版本在受影响的范围内（从3.0a1起至官方发布安全版本之前的所有版本）

2） RPC端口可被访问（默认配置下，外部无法访问）

3） RPC未设置密码或存在弱口令。

【漏洞编号】

CVE-2017-11610

【风险等级】

高风险

【漏洞影响】

借助此漏洞，在一定场景下，攻击者将能通过发送恶意XML-RPC请求，远程执行恶意命令，进而获取服务器的操作权限

【影响范围】

从3.0a1起除以下安全版本外所有版本的Supervisor

安全版本：

Supervisor 3.3.3

Supervisor 3.2.4

Superivsor 3.1.4

Supervisor 3.0.1

【检测方法】

自行检查使用的Supervisor版本是否在受影响范围内

【修复建议】

1.如果不需要使用该服务软件，建议关停卸载该软件，同时检查服务器上是否存在不正常的进程、或异常账号，确保服务器运行正常;

2.如需使用该服务软件，建议卸载后，重新安装升级到官方最新3.3.3版本，重新安装前建议通过抓取私有镜像和云硬盘快照来备份系统和数据;

3.由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击，用户可以使用安全组策略屏蔽公网入、内网入方向的9001端口；

4.为Supervisor配置RPC登录认证强密码，建议密码至少8位以上，包括大小写字母、数字、特殊字符等混合体。

【相关参考】

https://github.com/Supervisor/supervisor/issues/964

https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html

网页名称：【漏洞预警】Supervisor远程命令执行漏洞
网站路径：https://www.cdcxhl.com/article8/sdiip.html

成都网站建设公司_创新互联，为您提供网站策划、微信小程序、标签优化、服务器托管、App设计、网页设计公司

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联