CVE-2017-11610:Supervisord 远程命令执行漏洞

Supervisord是一款Python开发，用于管理后台应用（服务）的工具，其角色类似于Linux自带的Systemd。 近期，Supervisord曝出了一个需认证的远程命令执行漏洞（CVE-2017-11610），通过POST请求Supervisord管理界面恶意数据，可以获取服务器操作权限，存在严重的安全风险。

Supervisord是一款由Python语言开发，用于管理后台应用（服务）的工具，方便运维人员使用图形化界面进行管理。

近期，Supervisord曝出了一个需认证的远程命令执行漏洞（CVE-2017-11610），通过POST请求Supervisord管理界面恶意数据，可以获取服务器操作权限，存在严重的安全风险。

具体详情如下:

漏洞编号:

CVE-2017-11610

漏洞名称:

Supervisord 远程命令执行漏洞

官方评级:

高危

漏洞描述:

利用该漏洞远程POST请求提交Supervisord管理界面恶意数据，可以获取服务器操作权限，。

漏洞利用条件和方式:

利用条件:

• Supervisor版本在受影响范围内

• Supervisor 9001管理端口并可以被外网访问

• Supervisor未配置密码或为弱密码

利用方式：

远程利用

漏洞影响范围:

• Supervisor version 3.1.2

• Supervisor version 3.3.2

漏洞检测:

开发人员自查Supervisor版本是否在受影响范围内。

漏洞修复建议(或缓解措施):

1.如果不需要使用该服务软件，建议关停卸载该软件，同时检查服务器上是否存在不正常的进程、或异常账号，确保服务器运行正常;

2.如需使用该服务软件，建议卸载后，重新安装升级到官方最新3.3.3版本，重新安装前建议快照或备份数据;

3.由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击，阿里云用户可以使用ECS安全组策略屏蔽公网入、内网入方向的9001端口；

4.为Supervisor配置RPC登录认证强密码，建议密码至少8位以上，包括大小写字母、数字、特殊字符等混合体。