安基网 首页 资讯 安全报 查看内容

XXL-JOB 针对未授权访问导致远程命令执行漏洞的声明

2020-11-2 09:32| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 对于日前 XXL-JOB 被各大云厂商报出存在远程命令执行漏洞的情况,XXL-JOB 作者表示此问题本质上不是“漏洞”,因为官网版本已提供鉴权组件,开启即可防护。具体回应如下:该问题本质上不属于“漏洞”,官网版本提供 ...

对于日前 XXL-JOB 被各大云厂商报出存在远程命令执行漏洞的情况,XXL-JOB 作者表示此问题本质上不是“漏洞”,因为官网版本已提供鉴权组件,开启即可防护。具体回应如下:

该问题本质上不属于“漏洞”,官网版本提供了鉴权组件,开启即可进行防护。

该问题类似于将一台 Mysql、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql、Redis 有漏洞,只需要设置密码即可。

针对此问题,XXL-JOB 作者提供了以下安全防护策略:

  1. 开启 XXL-JOB 自带的鉴权组件:官方文档中搜索 “xxl.job.accessToken” ,按照文档说明启用即可。
  2. 端口防护:及时更换默认的执行器端口,不建议直接将默认的 9999 端口开放到公网。
  3. 端口访问限制:通过配置安全组限制只允许指定 IP 才能访问执行器 9999 端口。

作者还表示后续迭代版本将默认开启鉴权组件,同时重点提升安全性。

根据作者对“漏洞”的分析,问题核心是 GLUE 模式。XXL-JOB 通过“GLUE模式”支持多语言以及脚本任务,该模式任务特点如下:

  • 多语言支持:支持 Java、Shell、Python、NodeJS、PHP、PowerShell……等类型。
  • Web IDE:任务以源码方式维护在调度中心,支持通过 Web IDE 在线开发、维护。
  • 动态生效:用户在线通过 Web IDE 开发的任务代码,远程推送至执行器,实时加载执行。

如上图所示,如果在 GLUE 模式任务代码中写入攻击代码,推送到执行器执行即可造成远程攻击。(问题点)

由于 XXL-JOB 官方版本原生自带鉴权组件,开启后可保障系统底层通讯安全。XXL-JOB 作者表示正常情况下调度中心与执行器底层通讯是安全的,不存在远程命令漏洞。但如果执行器未开启访问令牌,会导致无法识别并拦截非法的调度请求。恶意请求方可以借助 GLUE 模式,推送恶意攻击代码实现远程攻击。如下图所示:

因此,XXL-JOB 作者认为该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。


XXL-JOB 远程命令执行漏洞的部分通告:

稿源:
https://mp.weixin.qq.com/s/jzXIVrEl0vbjZxI4xlUm-g



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6889598241654964750/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部