【漏洞预警】Supervisor 远程命令执行漏洞_资讯中心_腾佑云计算

尊重的客户：

你好，Supervisor官方网公布了序号为CVE-2017-11610的Supervisor远程连接命令实行系统漏洞。在一定情景下（RPC端口可被浏览且存有弱口令），网络攻击可运用该系统漏洞推送故意XML-RPC要求从而获得网络服务器的实际操作管理权限。

为防止您的业务流程受影响，建议立即进行自纠自查，并尽早进行升級升级，详尽参照以下引导表明：

【系统漏洞简述】

Supervisor是用Python开发设计的一个client/server服务项目，是Linux/Unix系统软件下的一个过程可视化工具。布署了Supervisor的网络服务器，假如达到下列三个标准，网络攻击将能根据推送故意XML-RPC要求，远程控制实行故意指令，从而获得网络服务器的实际操作管理权限（在一些情景下，网络攻击最大可获得root管理权限）：

1） Supervisor版本号在受影响的范畴内（从3.0a1起止官方发布安全性版本号以前的全部版本号）

2） RPC端口可被浏览（默认设置配备下，外界无法打开）

3） RPC未密码设置或存有弱口令。

【系统漏洞序号】

CVE-2017-11610

【安全风险】

高危

【系统漏洞危害】

依靠此系统漏洞，在一定情景下，网络攻击将能根据推送故意XML-RPC要求，远程控制实行故意指令，从而获得网络服务器的实际操作管理权限

【危害范畴】

从3.0a1起除下列安全性版本号外全部版本号的Supervisor

安全性版本号：

Supervisor 3.3.3

Supervisor 3.2.4

Superivsor 3.1.4

Supervisor 3.0.1

【检验方式 】

自主查验应用的Supervisor版本号是不是在受影响范畴内

【修补提议】

1.假如不用应用该服务项目手机软件，提议停业整顿卸载掉此软件，与此同时查验网络服务器上是不是存有异常的过程、或出现异常账户，保证网络服务器运作一切正常;

2.如需应用该服务项目手机软件，提议卸载掉后，重装升級到官方网全新3.3.3版本号，重装前提议根据爬取独享镜像系统和云硬盘快照更新来系统备份和数据信息;

3.因为该漏洞检测Supervisor对外开放的9001管理方法端口号进行远程控制进攻，客户能够应用安全性组策略屏蔽掉外网地址入、内部网入方位的9001端口号；

4.为Supervisor配备RPC登陆验证强登陆密码，提议登陆密码最少8位之上，包含英文大小写、数据、特殊符号等结合体。

【有关参照】

https://github.com/Supervisor/supervisor/issues/964

https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html