XXL JOB 未授权访问致远程命令执行 "漏洞" 声明

2020-10-30 15:04:29 +08:00
 xuxueli

日前,XXL-JOB 被各大云厂商报出存在远程执行 ”漏洞“,社区用户针对该问题咨询反馈量巨大,为将真实情况周知用户,特此发文说明,统一回复。

该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。

该问题类似于将一台 Mysql 、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql 、Redis 有漏洞,只需要设置密码即可。

文章提供详细的安全防护策略: https://mp.weixin.qq.com/s/jzXIVrEl0vbjZxI4xlUm-g

《 XXL-JOB 正在角逐 “2020 年度 OSC 中国开源项目评选”,期待您宝贵的一票!》

https://www.oschina.net/project/top_cn_2020?sort=1

2976 次点击
所在节点    Java
14 条回复
no1xsyzy
2020-10-30 15:21:51 +08:00
OSC 评选在 V2 已经被吊过了,看来是不怎么上 V2 的
binux
2020-10-30 15:30:03 +08:00
你就说你默认开启鉴权了没有?
shakoon
2020-10-30 15:44:57 +08:00
这个事情惊动的面很大,gov 部委和下辖国企都收到了通报要求迅速排查和处理。
dnsaq
2020-10-30 15:47:05 +08:00
开源本是一件好事,但是做事情尽善尽美,一个负责任的项目应该默认开启鉴权。
dk7952638
2020-10-30 15:53:37 +08:00
这事和项目完全无关,开发和运维人员 100%的锅,自己没有安全意识,开发测试生产环境一把梭怪谁?
swulling
2020-10-30 16:00:12 +08:00
鉴权应该默认开启,如果默认不开启背锅就背了吧

另外只通过固定 token 的方式进行鉴权是过不了很多安全评估的。
swulling
2020-10-30 16:04:00 +08:00
正确的做法有很多种,根本是私钥不传输也没法反向破译。

一种就是 AKSK 签名,基本上公有云都用这种,ak 可以被随时吊销

还有一种是客户端证书,k8s 的默认方式
lxk11153
2020-10-30 16:09:37 +08:00
233 我收到过邮件,然后我根本没用过这软件 [doge]
from: ksyun_service@kingsoft.com
title: [风险通告] XXL-JOB 未授权远程命令执行漏洞
time: 2020 年 10 月 28 日(星期三)下午 3 : 56
joesonw
2020-10-30 16:13:12 +08:00
@swulling redis, mongodb 不也默认没授权啊.
swulling
2020-10-30 16:15:24 +08:00
@joesonw redis mongo es 这方面的未授权导致的安全事件还少?
pierreorz
2020-10-30 19:55:21 +08:00
因为菜刀不戴套会伤人,所以默认菜刀必须要给带上套才能出来卖。
MrMario
2020-10-30 19:57:58 +08:00
@joesonw #9 现在默认监听 127.0.0.1,楼主的是监听局域网 ip
jiangzm
2020-10-31 13:13:47 +08:00
嘿,看到 xxl-job 的作者了,一直有个感觉是有多自恋会把项目用自己名字命名,xjob 都比 xxl-job 看着好一点。
toomlo
2020-10-31 13:39:19 +08:00
@jiangzm #13 那你说法拉利 兰博基尼 这些咋整,自己的项目爱用啥啊用啥

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/720191

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX