JumpServer远程命令执行漏洞安全通告

综述

北京时间1月15日,JumpServer发布紧急通知,称其堡垒机中存在一个远程命令执行漏洞,建议用户尽快修复,尤其是可以通过公网直接访问JumpServer堡垒机的用户。

关于JumpServer

JumpServer 是全球首款开源的堡垒机,使用 GNU GPL v2.0 开源协议,是符合 4A 规范的运维安全审计系统。JumpServer 使用 Python / Django 为主进行开发,遵循 Web 2.0 规范,配备了业界领先的 Web Terminal 方案,交互界面美观、用户体验好。JumpServer 采纳分布式架构,支持多机房跨区域部署,支持横向扩展,无资产数量及并发限制。

受影响版本

  • JumpServer堡垒机<v2.6.2版本
  • JumpServer堡垒机<v2.5.4版本
  • JumpServer堡垒机<v2.4.5版本
  • JumpServer堡垒机= v1.5.9

安全版本

  • JumpServer堡垒机>=v2.6.2版本
  • JumpServer堡垒机>=v2.5.4版本
  • JumpServer堡垒机>=v2.4.5版本
  • JumpServer堡垒机= v1.5.9 (版本号不变)

处置建议

JumpServer已经发布了新版本修复了上述漏洞,建议用户尽快升级进行防护。

用户还可以采取JumpServer提供的临时修复方案:

  • 修改 Nginx 配置文件屏蔽漏洞接口

/api/v1/authentication/connection-token/

/api/v1/users/connection-token/

  • Nginx 配置文件位置

# 社区老版本

/etc/nginx/conf.d/jumpserver.conf

# 企业老版本

jumpserver-release/nginx/http_server.conf

# 新版本

jumpserver-release/compose/config_static/http_server.conf

  • 修改 Nginx 配置文件实例

### 保证在 /api 之前 和 / 之前

location /api/v1/authentication/connection-token/ {

   return 403;

}

location /api/v1/users/connection-token/ {

   return 403;

}

### 新增以上这些

location /api/ {

    proxy_set_header X-Real-IP $remote_addr;

    proxy_set_header Host $host;

    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    proxy_pass http://core:8080;

  }

  • 修改完成后重启 nginx

docker方式:

docker restart jms_nginx

nginx方式:

systemctl restart nginx

参考链接

https://github.com/jumpserver/jumpserver/

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

绿盟科技集团股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

绿盟科技集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。

Spread the word. Share this post!

Meet The Author

Leave Comment