当前位置:首页 > 操作系统 > Linux > 正文内容

重要通知 | JumpServer 漏洞通知及修复方案(JS-2023.09.27)

倪斌2023年10月02日Linux522

2023年9月,有用户反馈发现 JumpServer 开源堡垒机存在安全漏洞,并向 JumpServer 开源项目组进行上报。

漏洞信息:
JumpServer 重置密码验证码可被计算推演的漏洞,CVE编号为CVE-2023-42820。
JumpServer 重置密码验证码可被暴力破解的漏洞,CVE编号为CVE-2023-43650。
JumpServer 认证用户跨目录任意文件读取漏洞,CVE编号为CVE-2023-42819。
JumpServer 认证用户开启MFA后,可以使用SSH公钥认证的逻辑缺陷漏洞,CVE编号为CVE-2023-42818。
JumpServer 全局开启公钥认证后,用户可以使用公钥创建访问Token的漏洞,CVE编号为CVE-2023-43652。
JumpServer 认证用户连接MongoDB数据库,可执行任意系统命令的远程执行漏洞,CVE编号为CVE-2023-43651。

以上漏洞影响版本为:
JumpServer v2.0.0-v2.28.19版本
JumpServer v3.0.0-v3.7.0版本

安全版本为:
JumpServer 版本 = v2.28.20版本
JumpServer 版本 >= v3.7.1版本

修复方案:
升级 JumpServer 软件至上述安全版本。

特别鸣谢:
感谢以下社区用户向 JumpServer 开源社区及时反馈上述漏洞。
CVE-2023-42820、CVE-2023-42819:@KiruaLawliet & zhiniang peng(@edwardzpeng)with Sangfo
CVE-2023-42818: @pokerstarxy & Ethan Yang(@justlovediaodiao)& Hui Song(@songofhawk
CVE-2023-43650、CVE-2023-43652、CVE-2023-43651:OskarZeino-Mahmalat(Sonar)

扫描二维码推送至手机访问。

版权声明:本文由易记录 ejilu.cn发布,如需转载请注明出处。

本文链接:https://ejilu.cn/?id=219

分享给朋友:

相关文章

海康威视 HikvisionOS Linux (HIKOS)系统镜像ISO文件下载

海康威视 HikvisionOS Linux (HIKOS)系统镜像ISO文件下载

HIKOS系统安装完成后,即设置了root和hik两个用户,初始登录密码为123456。其中root是超级管理员用户,只能通过本地终端登录系统,禁止使用远程终端登录系统;hik是普通用户,即可以在本地...

CentOS 7 历史发布版本下载(附全部标准镜像文件BT种子)

CentOS 7 历史发布版本下载(附全部标准镜像文件BT种子)

历史版本下载 https://archive.kernel.org/centos-vault当我们下载CentOS 7 时会发现有几个版本可以选择,如下: 1. CentOS-7-DVD版:DVD是标...

CentOS7 下安装 Nginx 1.23.1 的详细步骤

CentOS7 下安装 Nginx 1.23.1 的详细步骤

运行环境说明:ESXi 虚拟化,虚拟化操作系统:CentOS7 64位,出这个教程的背景是小哥有个项目应用单独部署的场景需要多个,服务器就一台,索性做个虚拟化,这里只是讲了怎么安装Nginx,实际小哥...

CentOS系统时间为中国时区并启用NTP同步

CentOS系统时间为中国时区并启用NTP同步

最近发现几台服务器时间越来越慢,捣鼓一下,做个笔记,再有需要就能轻车熟路的处理了。网络时间协议,英文名称:Network Time Protocol(NTP)是用来使计算机时间同步化的一种协议,它可以...

利用对端外网CentOS搭建本端计算机远程工作环境

利用对端外网CentOS搭建本端计算机远程工作环境

 一些项目中本身CentOS服务器需对外工作且能远程登录,在这样一种场景下维护连接对端网络中的设备实际上非常简单,最终效果就像您在对方局域网内一样,这种模式对系统远程维护及调试非常有利,体验...

CentOS7.9删除多余无用内核教程,释放/boot分区空间

CentOS7.9删除多余无用内核教程,释放/boot分区空间

一、声明因为目前只使用CentOS 7 x64系统,所以本教程将仅适用于CentOS 7 x64系统,不保证在CentOS 8等系统上的效果。另外卸载系统内核属于危险操作,可能导致VPS无法启动,非必...

CentOS7.9 调整/Home磁盘分区与/根分区大小

CentOS7.9 调整/Home磁盘分区与/根分区大小

在 CentOS 7.9 中,如果您选择默认分区设置,根目录/的分区大小只有50GB,swap分区大小与系统内存大小相同,其余所有的可用空间都会放在/home分区下。这是因为在默认分区设置中,Cent...

CentOS安装新版内核并开启Google BBR加速

CentOS安装新版内核并开启Google BBR加速

BBR是Google开源的一种TCP网络拥塞优化算法,可以提高网站访问速度。开启BBR有什么用?简单来说,开启BBR可以对你网站访问速度起到一定的优化。BBR是Google开源的一种TCP网络拥塞优化...

宝塔Liunx面板8.0.5全线崩盘,同样遇到问题请移步论坛或联系客服

宝塔Liunx面板8.0.5全线崩盘,同样遇到问题请移步论坛或联系客服

宝塔Liunx面板8.0.5全线崩盘,同样遇到问题请移步bt.cn官方论坛或联系客服,小哥不愿意折腾已经移步切换至 1Pnael Liunx 服务器运维管理面板!说下小哥自己的经历,于上月29日去bt...

CentOS 关闭与开启系统防火墙

CentOS 关闭与开启系统防火墙

在CentOS系统中关闭防火墙的命令取决于您所使用的防火墙软件。对于不同版本的CentOS:CentOS 6 使用的是 iptables 防火墙服务,关闭命令如下:临时关闭:service iptab...

发表评论

访客

看不清,换一张

◎欢迎参与讨论,请在这里发表您的看法和观点。