2019年2月28日,阿里云云盾应急响应中心监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。


漏洞描述

Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。


漏洞评级

严重


影响版本

全版本且无安全配置


安全建议

禁用所有接口,将配置改成:


endpoints.enabled = false




或者引入spring-boot-starter-security依赖:


<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>




开启security功能,配置访问权限验证,类似配置如下:


management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxxx


云盾WAF已可防御此漏洞攻击

云盾网站威胁扫描系统已支持对该漏洞检测

云盾云安全中心应急漏洞模块已支持对该漏洞一键检测


相关链接

https://www.veracode.com/blog/research/exploiting-spring-boot-actuators



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心

2019.2.28

欢迎关注阿里云应急响应公众号

点击收藏 | 0 关注 | 0
  • 动动手指,沙发就是你的了!
登录 后跟帖