2021年1月15日,JumpServer开源堡垒机发现一处远程执行漏洞,需要用户尽快进行修复,尤其是可通过公网访问的JumpServer堡垒机用户建议尽快进行修复。
影响版本如下:
-
JumpServer堡垒机<v2.6.2版本
-
JumpServer堡垒机<v2.5.4版本
-
JumpServer堡垒机<v2.4.5版本
安全版本如下:
-
JumpServer堡垒机>=v2.6.2版本
-
JumpServer堡垒机>=v2.5.4版本
-
JumpServer堡垒机>=v2.4.5版本
修复方案
建议JumpServer堡垒机(含社区版及企业版)用户升级至安全版本。
临时修复方案
修改Nginx配置文件,以屏蔽漏洞接口 :
/api/v1/authentication/connection-token/
/api/v1/users/connection-token/
Nginx配置文件位置如下:
社区老版本
/etc/nginx/conf.d/jumpserver.conf
# 企业老版本
jumpserver-release/nginx/http_server.conf
# 新版本在
jumpserver-release/compose/config_static/http_server.conf
Nginx配置文件实例为:
#保证在 /api 之前 和 / 之前
location /api/v1/authentication/connection-token/ {
return 403;
}
location /api/v1/users/connection-token/ {
return 403;
}
#新增以上这些
location /api/ {
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_pass http://core:8080;
}
...
修改配置文件完毕后,重启Nginx服务即可。
来源:JumpServer开源堡垒机
https://blog.fit2cloud.com/?p=1761
| 公众号专属福利 1 |
| 2020全新专题课程限时免费中 |
| 公众号专属福利 2 |
| 长按识别免费领取实战手册|
本文始发于微信公众号(马哥Linux运维):JumpServer漏洞通知及修复方案
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论