预警Spring Boot Actuator 未授权访问远程代码执行漏洞

安全漏洞
19年12月29日
编辑

aqzt

释放双眼，带上耳机，听听看~！

2019年2月28日，安全专题监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。

漏洞描述

Actuator是Spring Boot提供的服务监控和管理中间件，默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等，使用Jolokia库特性甚至可以远程执行任意代码，获取服务器权限。

漏洞评级

严重

影响版本

全版本且无安全配置

安全建议

禁用所有接口，将配置改成：


1
endpoints.enabled = false

或者引入spring-boot-starter-security依赖：


1
2
3
4
&lt;dependency&gt;

    &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt;

    &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt;

&lt;/dependency&gt;

开启security功能，配置访问权限验证，类似配置如下：


1
2
3
4
management.port=8099

management.security.enabled=true

security.user.name=xxxxx

security.user.password=xxxxxx

云盾云中心已可防御此漏洞攻击

云盾云中心已支持对该漏洞检测

云盾云中心应急漏洞模块已支持对该漏洞一键检测

我们会关注后续进展，请随时关注官方公告。

内容来自网络，如有侵犯到您的权益，请联系站长QQ7529997，我们将及时处理。

安全专题

2019.2.28

{{userData.name}}已认证

预警Spring Boot Actuator 未授权访问远程代码执行漏洞

Rails 5.2.4.1 与 6.0.2.1 发布，修复漏洞

腾讯 Blade Team 获封 CNVD “最具价值漏洞”奖

{{userData.name}}已认证

Related posts:

Rails 5.2.4.1 与 6.0.2.1 发布，修复漏洞

腾讯 Blade Team 获封 CNVD “最具价值漏洞”奖

预警F5 BIG-IP TMUI 远程代码执行漏洞（CVE-2020-5902）

预警Laravel <= 8.4.2 Debug模式 _ignition 远程代码执行漏洞

预警Dnsmasq 多个高危漏洞（CVE-2020-25681、CVE-2020-25682）

【漏洞通告】Windows Print Spooler远程代码执行漏洞（CVE-2021-34527）