【漏洞通告】]JumpServer漏洞通知及修复方案

  • A+
所属分类:安全漏洞

2021年1月15日,JumpServer开源堡垒机发现一处远程执行漏洞,需要用户尽快进行修复,尤其是可通过公网访问的JumpServer堡垒机用户建议尽快进行修复。

【漏洞通告】]JumpServer漏洞通知及修复方案

影响版本如下:

JumpServer堡垒机<v2.6.2版本

JumpServer堡垒机<v2.5.4版本

JumpServer堡垒机<v2.4.5版本


安全版本如下:

JumpServer堡垒机>=v2.6.2版本

JumpServer堡垒机>=v2.5.4版本

JumpServer堡垒机>=v2.4.5版本


修复方案


建议JumpServer堡垒机(含社区版及企业版)用户升级至安全版本。

临时修复方案


修改Nginx配置文件,以屏蔽漏洞接口 :


  • /api/v1/authentication/connection-token/

  • /api/v1/users/connection-token/


Nginx配置文件位置如下:

社区老版本/etc/nginx/conf.d/jumpserver.conf# 企业老版本jumpserver-release/nginx/http_server.conf# 新版本在 jumpserver-release/compose/config_static/http_server.conf


Nginx配置文件实例为:

### 保证在 /api 之前 和 / 之前location /api/v1/authentication/connection-token/ {   return 403;} location /api/v1/users/connection-token/ {   return 403;}### 新增以上这些 location /api/ {    proxy_set_header X-Real-IP $remote_addr;    proxy_set_header Host $host;    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    proxy_pass http://core:8080;  } ...

修改配置文件完毕后,重启Nginx服务即可。


本文始发于微信公众号(飓风网络安全):【漏洞通告】]JumpServer漏洞通知及修复方案

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: