JumpServer漏洞通知及修复方案 |
您所在的位置:网站首页 › jumpserver api文档 › JumpServer漏洞通知及修复方案 |
JumpServer漏洞通知及修复方案
|
2021年1月15日,JumpServer开源堡垒机发现一处远程执行漏洞,需要用户尽快进行修复,尤其是可通过公网访问的JumpServer堡垒机用户建议尽快进行修复。 
影响版本如下:
JumpServer堡垒机<v2.6.2版本
JumpServer堡垒机<v2.5.4版本
JumpServer堡垒机<v2.4.5版本
安全版本如下:
JumpServer堡垒机>=v2.6.2版本
JumpServer堡垒机>=v2.5.4版本
JumpServer堡垒机>=v2.4.5版本
修复方案
建议JumpServer堡垒机(含社区版及企业版)用户升级至安全版本。 临时修复方案修改Nginx配置文件,以屏蔽漏洞接口 : /api/v1/authentication/connection-token/ /api/v1/users/connection-token/Nginx配置文件位置如下: 社区老版本 /etc/nginx/conf.d/jumpserver.conf # 企业老版本 jumpserver-release/nginx/http_server.conf # 新版本在 jumpserver-release/compose/config_static/http_server.conf Nginx配置文件实例为: #保证在 /api 之前 和 / 之前 location /api/v1/authentication/connection-token/ { return 403; } location /api/v1/users/connection-token/ { return 403; } #新增以上这些 location /api/ { proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_pass http://core:8080; } ...修改配置文件完毕后,重启Nginx服务即可。 文章来源于网络,侵删! |
【本文地址】
今日新闻 |
推荐新闻 |