XXL-JOB 针对未授权访问导致远程命令执行漏洞的声明
IT实战联盟博客:http://blog.100boot.cn
对于日前 XXL-JOB 被各大云厂商报出存在远程命令执行漏洞的情况,XXL-JOB 作者表示此问题本质上不是“漏洞”,因为官网版本已提供鉴权组件,开启即可防护。具体回应如下:
该问题本质上不属于“漏洞”,官网版本提供了鉴权组件,开启即可进行防护。
该问题类似于将一台 Mysql、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql、Redis 有漏洞,只需要设置密码即可。
针对此问题,XXL-JOB 作者提供了以下安全防护策略:
- 开启 XXL-JOB 自带的鉴权组件:官方文档中搜索 “xxl.job.accessToken” ,按照文档说明启用即可。
- 端口防护:及时更换默认的执行器端口,不建议直接将默认的 9999 端口开放到公网。
- 端口访问限制:通过配置安全组限制只允许指定 IP 才能访问执行器 9999 端口。
作者还表示后续迭代版本将默认开启鉴权组件,同时重点提升安全性。
根据作者对“漏洞”的分析,问题核心是 GLUE 模式。XXL-JOB 通过“GLUE模式”支持多语言以及脚本任务,该模式任务特点如下:
多语言支持:支持 Java、Shell、Python、NodeJS、PHP、PowerShell……等类型。
Web IDE:任务以源码方式维护在调度中心,支持通过 Web IDE 在线开发、维护。
动态生效:用户在线通过 Web IDE 开发的任务代码,远程推送至执行器,实时加载执行。
如上图所示,如果在 GLUE 模式任务代码中写入攻击代码,推送到执行器执行即可造成远程攻击。(问题点)
由于 XXL-JOB 官方版本原生自带鉴权组件,开启后可保障系统底层通讯安全。XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。如下图所示:
因此,XXL-JOB 作者认为该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。
XXL-JOB 远程命令执行漏洞的部分通告:
稿源:
https://mp.weixin.qq.com/s/jzXIVrEl0vbjZxI4xlUm-g
XXL-JOB 针对未授权访问导致远程命令执行漏洞的声明相关推荐
- 浪潮ClusterEngineV4.0 远程命令执行漏洞 CVE-2020-21224
浪潮ClusterEngineV4.0 远程命令执行漏洞 CVE-2020-21224 此文章仅供用于学习研究,严禁用于非法用途,否则后果自负. 漏洞简介 浪潮服务器群集管理系统存在危险字符未过滤,导 ...
- Docker远程API未授权访问导致的Docker逃逸
Docker远程API未授权访问导致的Docker逃逸 前言 是给社团学弟学妹们一次讲课的一次md. 服务器 https://cloud.tencent.com/act/campus 当然想要复现学习 ...
- ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
ThinkPHP 5.0.x.5.1.x.5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速.兼容而且简单的轻量级国产PHP开发框架.借鉴Struts框架的Action对象,同 ...
- GoAhead远程命令执行漏洞(CVE-2021-42342)
GoAhead远程命令执行漏洞(CVE-2021-42342) 目录 GoAhead远程命令执行漏洞(CVE-2021-42342) 漏洞描述 漏洞复现 启动环境 复现漏洞 漏洞描述 漏洞主要是由于上 ...
- CVE-2019-19781 Citrix ADCNetScaler远程命令执行漏洞
未经允许,不得擅自转载,违者必究 一.前言 @Adminxe 因为最近在刷edusrc,由此发现这个漏洞,涉及多所高校,所以过来给大家实战POC测试一波,可直接进行命令执行,Citrix产品中的漏洞使 ...
- Fastjson远程命令执行漏洞总结
1.FastJson 简介 fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson fastjson用于将Java Bean序列化为JSON字符 ...
- Nexus Repository Manager 3 远程命令执行漏洞 CVE-2019-7238
目录 Vulnhub官方复现教程 漏洞原理 复现过程 启动环境 漏洞复现 端口设置 Vulnhub官方复现教程 https://vulhub.org/#/environments/nexus/CVE- ...
- 【注意】关于Redis存在远程命令执行漏洞的安全公告
点击蓝色"程序猿DD"关注我 回复"资源"获取独家整理的学习资料! 来源:CNVD漏洞平台 安全公告编号:CNTA-2019-0024 2019年7月10日,国 ...
- rmi远程反序列化rce漏洞_Oracle WebLogic 反序列化远程命令执行漏洞预警
报告编号:B6-2019-041901 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-04-19 0x00 事件背景 2019年4月17日,国家信息安全漏洞共享平台(CN ...
- 又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析
本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析, 早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文 ...
最新文章
- linux压缩与解压缩命令
- BZOJ 2282 树的直径
- 0402互联网新闻 | 首批进口游戏版号下放,网易腾讯获批;“少年得到”完成数千万元A轮融资...
- winfrom弹出窗口用timer控件控制倒计时20秒后关闭
- b类 蚂蚁金服_【面经】超硬核面经,已拿蚂蚁金服Offer!!
- .NET Core 3 Preview 2发布,C#8更强大的模式匹配
- 静态连接和动态链接有什么区别?
- IOT(2)---物联网传感器1
- 简练软考知识点整理-互联网+
- tmp name php,linux环境 上传文件失败 tmp_name为空
- 【转】模块(configparser+shutil+logging)
- H264的编码负担约是解码的5-10倍
- 读书笔记1——《用户故事与敏捷方法》
- 用HTML写一个仓库管理系统,welcome.html
- MATLAB高斯迭代算法,matlab实现高斯赛德尔迭代法解方程组
- MySQL之——优化篇
- 前端小白写了个网页版五子棋游戏,使用原生 JS + Canvas 实现绘制棋子、棋盘
- [iOS]在xcode的iOS虚拟机中对BLE(蓝牙4.0)进行调试
- python进程已结束 退出代码0_PyCharm:进程以退出代码0结束
- Word Averaging模型做文本分类 稳定效果好模型简单