V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xuxueli
V2EX  ›  Java

XXL JOB 未授权访问致远程命令执行 "漏洞" 声明

  •  
  •   xuxueli · 2020-10-30 15:04:29 +08:00 · 3150 次点击
    这是一个创建于 1486 天前的主题,其中的信息可能已经有所发展或是发生改变。

    日前,XXL-JOB 被各大云厂商报出存在远程执行 ”漏洞“,社区用户针对该问题咨询反馈量巨大,为将真实情况周知用户,特此发文说明,统一回复。

    该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。

    该问题类似于将一台 Mysql 、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql 、Redis 有漏洞,只需要设置密码即可。

    文章提供详细的安全防护策略: https://mp.weixin.qq.com/s/jzXIVrEl0vbjZxI4xlUm-g


    《 XXL-JOB 正在角逐 “2020 年度 OSC 中国开源项目评选”,期待您宝贵的一票!》

    https://www.oschina.net/project/top_cn_2020?sort=1

    14 条回复    2020-10-31 13:39:19 +08:00
    no1xsyzy
        1
    no1xsyzy  
       2020-10-30 15:21:51 +08:00
    OSC 评选在 V2 已经被吊过了,看来是不怎么上 V2 的
    binux
        2
    binux  
       2020-10-30 15:30:03 +08:00 via Android   ❤️ 3
    你就说你默认开启鉴权了没有?
    shakoon
        3
    shakoon  
       2020-10-30 15:44:57 +08:00   ❤️ 2
    这个事情惊动的面很大,gov 部委和下辖国企都收到了通报要求迅速排查和处理。
    dnsaq
        4
    dnsaq  
       2020-10-30 15:47:05 +08:00
    开源本是一件好事,但是做事情尽善尽美,一个负责任的项目应该默认开启鉴权。
    dk7952638
        5
    dk7952638  
       2020-10-30 15:53:37 +08:00
    这事和项目完全无关,开发和运维人员 100%的锅,自己没有安全意识,开发测试生产环境一把梭怪谁?
    swulling
        6
    swulling  
       2020-10-30 16:00:12 +08:00 via iPhone
    鉴权应该默认开启,如果默认不开启背锅就背了吧

    另外只通过固定 token 的方式进行鉴权是过不了很多安全评估的。
    swulling
        7
    swulling  
       2020-10-30 16:04:00 +08:00 via iPhone
    正确的做法有很多种,根本是私钥不传输也没法反向破译。

    一种就是 AKSK 签名,基本上公有云都用这种,ak 可以被随时吊销

    还有一种是客户端证书,k8s 的默认方式
    lxk11153
        8
    lxk11153  
       2020-10-30 16:09:37 +08:00
    233 我收到过邮件,然后我根本没用过这软件 [doge]
    from: [email protected]
    title: [风险通告] XXL-JOB 未授权远程命令执行漏洞
    time: 2020 年 10 月 28 日(星期三)下午 3 : 56
    joesonw
        9
    joesonw  
       2020-10-30 16:13:12 +08:00
    @swulling redis, mongodb 不也默认没授权啊.
    swulling
        10
    swulling  
       2020-10-30 16:15:24 +08:00 via iPhone   ❤️ 1
    @joesonw redis mongo es 这方面的未授权导致的安全事件还少?
    pierreorz
        11
    pierreorz  
       2020-10-30 19:55:21 +08:00
    因为菜刀不戴套会伤人,所以默认菜刀必须要给带上套才能出来卖。
    MrMario
        12
    MrMario  
       2020-10-30 19:57:58 +08:00 via iPhone
    @joesonw #9 现在默认监听 127.0.0.1,楼主的是监听局域网 ip
    jiangzm
        13
    jiangzm  
       2020-10-31 13:13:47 +08:00
    嘿,看到 xxl-job 的作者了,一直有个感觉是有多自恋会把项目用自己名字命名,xjob 都比 xxl-job 看着好一点。
    toomlo
        14
    toomlo  
       2020-10-31 13:39:19 +08:00
    @jiangzm #13 那你说法拉利 兰博基尼 这些咋整,自己的项目爱用啥啊用啥
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3667 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:34 · PVG 12:34 · LAX 20:34 · JFK 23:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.