首页 运维干货JumpServer漏洞通知及修复方案

JumpServer漏洞通知及修复方案

运维派隶属马哥教育旗下专业运维社区,是国内成立最早的IT运维技术社区,欢迎关注公众号:yunweipai
领取学习更多免费Linux云计算、Python、Docker、K8s教程关注公众号:马哥linux运维

2021年1月15日,JumpServer开源堡垒机发现一处远程执行漏洞,需要用户尽快进行修复,尤其是可通过公网访问的JumpServer堡垒机用户建议尽快进行修复。

JumpServer漏洞通知及修复方案插图

影响版本如下:

  • JumpServer堡垒机<v2.6.2版本
  • JumpServer堡垒机<v2.5.4版本
  • JumpServer堡垒机<v2.4.5版本

安全版本如下:

  • JumpServer堡垒机>=v2.6.2版本
  • JumpServer堡垒机>=v2.5.4版本
  • JumpServer堡垒机>=v2.4.5版本

修复方案

建议JumpServer堡垒机(含社区版及企业版)用户升级至安全版本。

临时修复方案

修改Nginx配置文件,以屏蔽漏洞接口 :

/api/v1/authentication/connection-token/
/api/v1/users/connection-token/

Nginx配置文件位置如下:

社区老版本

/etc/nginx/conf.d/jumpserver.conf
# 企业老版本
jumpserver-release/nginx/http_server.conf
# 新版本在 
jumpserver-release/compose/config_static/http_server.conf
Nginx配置文件实例为:

#保证在 /api 之前 和 / 之前
location /api/v1/authentication/connection-token/ {
   return 403;
}

location /api/v1/users/connection-token/ {
   return 403;
}
#新增以上这些

location /api/ {
    proxy_set_header X-Real-IP remote_addr;
    proxy_set_header Hosthost;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://core:8080;
  } 
...

修改配置文件完毕后,重启Nginx服务即可。

来源:JumpServer开源堡垒机 https://blog.fit2cloud.com/?p=1761

本文链接:http://www.yunweipai.com/39298.html

网友评论comments

发表评论

邮箱地址不会被公开。

暂无评论

Copyright © 2012-2021 YUNWEIPAI.COM - 运维派 京ICP备16064699号-6
扫二维码
扫二维码
返回顶部