预警Spring Boot Actuator未授权访问远程代码执行

释放双眼,带上耳机,听听看~!

2019年2月28日,监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。

预警Spring Boot Actuator未授权访问远程代码执行

漏洞描述

Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。

漏洞评级

严重

影响版本

全版本且无安全配置

安全建议

禁用所有接口,将配置改成:

endpoints.enabled = false

或者引入spring-boot-starter-security依赖:

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>

开启security功能,配置访问权限验证,类似配置如下:

management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxxx

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

谷歌:光靠软件修复不能完全防御“幽灵”漏洞

2019-2-25 11:12:22

安全漏洞

Chrome 被曝 0day 漏洞,可让黑客获取用户数据

2019-3-1 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索