未分類
27 10 月 2020

XXL JOB 未授权访问致远程命令执行 “漏洞” 声明

XXL JOB 未授权访问致远程命令执行 “漏洞” 声明

資深大佬 : xuxueli 3

日前,XXL-JOB 被各大云厂商报出存在远程执行 ”漏洞“,社区用户针对该问题咨询反馈量巨大,为将真实情况周知用户,特此发文说明,统一回复。

该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。

该问题类似于将一台 Mysql 、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql 、Redis 有漏洞,只需要设置密码即可。

文章提供详细的安全防护策略: https://mp.weixin.qq.com/s/jzXIVrEl0vbjZxI4xlUm-g

《 XXL-JOB 正在角逐 “2020 年度 OSC 中国开源项目评选”,期待您宝贵的一票!》

https://www.oschina.net/project/top_cn_2020?sort=1

大佬有話說 (14)

  • 資深大佬 : no1xsyzy

    OSC 评选在 V2 已经被吊过了,看来是不怎么上 V2 的

  • 資深大佬 : binux

    你就说你默认开启鉴权了没有?

  • 資深大佬 : shakoon

    这个事情惊动的面很大,gov 部委和下辖国企都收到了通报要求迅速排查和处理。

  • 資深大佬 : dnsaq

    开源本是一件好事,但是做事情尽善尽美,一个负责任的项目应该默认开启鉴权。

  • 資深大佬 : dk7952638

    这事和项目完全无关,开发和运维人员 100%的锅,自己没有安全意识,开发测试生产环境一把梭怪谁?

  • 資深大佬 : swulling

    鉴权应该默认开启,如果默认不开启背锅就背了吧

    另外只通过固定 token 的方式进行鉴权是过不了很多安全评估的。

  • 資深大佬 : swulling

    正确的做法有很多种,根本是私钥不传输也没法反向破译。

    一种就是 AKSK 签名,基本上公有云都用这种,ak 可以被随时吊销

    还有一种是客户端证书,k8s 的默认方式

  • 資深大佬 : lxk11153

    233 我收到过邮件,然后我根本没用过这软件 [doge]
    from: [email protected]
    title: [风险通告] XXL-JOB 未授权远程命令执行漏洞
    time: 2020 年 10 月 28 日(星期三)下午 3 : 56

  • 資深大佬 : joesonw

    @swulling redis, mongodb 不也默认没授权啊.

  • 資深大佬 : swulling

    @joesonw redis mongo es 这方面的未授权导致的安全事件还少?

  • 資深大佬 : pierreorz

    因为菜刀不戴套会伤人,所以默认菜刀必须要给带上套才能出来卖。

  • 資深大佬 : MrMario

    @joesonw #9 现在默认监听 127.0.0.1,主的是监听局域网 ip

  • 資深大佬 : jiangzm

    嘿,看到 xxl-job 的作者了,一直有个感觉是有多自恋会把项目用自己名字命名,xjob 都比 xxl-job 看着好一点。

  • 資深大佬 : toomlo

    @jiangzm #13 那你说法拉利 兰博基尼 这些咋整,自己的项目爱用啥啊用啥