全部产品
Search
文档中心

【漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞

更新时间: 2018-05-10

Supervisord是一款用Python语言开发的管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。

近期,Supervisord曝出了一个需认证的远程命令执行漏洞(CVE-2017-11610)。通过POST请求向Supervisord管理界面提交恶意数据,可以获取服务器操作权限,带来严重的安全风险。

漏洞详情见下文。


漏洞编号:

CVE-2017-11610

漏洞名称:

Supervisord 远程命令执行漏洞

官方评级:

高危

漏洞描述:

利用该漏洞远程POST请求,向Supervisord管理界面提交恶意数据,可以获取服务器操作权限。

漏洞利用条件和方式:

利用条件:

  • Supervisor版本在受影响范围内
  • Supervisor 9001管理端口可以被外网访问
  • Supervisor未配置密码或使用弱密码

利用方式:

远程利用

漏洞影响范围:

  • Supervisor version 3.1.2
  • Supervisor version 3.3.2

漏洞检测:

检查Supervisor版本是否在受影响范围内。

漏洞修复建议(或缓解措施):

参照以下步骤来修复该漏洞:

  1. 如果不需要使用该服务软件,建议您关停卸载该软件,同时检查服务器上是否存在不正常的进程或异常账号,确保服务器运行正常。

  2. 如需使用该服务软件,建议卸载后,重新安装并升级到官方最新3.3.3版本,重新安装前建议创建快照或备份数据。

  3. 由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击,阿里云用户可以使用ECS安全组策略屏蔽公网入、内网入方向的9001端口。

  4. 为Supervisor配置RPC登录认证强密码。建议您使用8位字符以上的密码,且包含大小写字母、数字、特殊字符等。

  5. 云盾态势感知具备自动检测能力,推荐您使用态势感知进行检测。

情报来源:

https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html