蛋疼的jumpserver,刚升级3.10.10,又爆漏洞,又要升级。。。
2024年7月,有用户反馈发现JumpServer开源堡垒机存在安全漏洞,并向JumpServer开源项目组进行上报。此次发现的漏洞为:
■ JumpServer作业管理中Ansible Playbook存在可读取任意文件的漏洞,CVE编号为CVE-2024-40628。漏洞详情:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-rpf7-g4xh-84v9。
■ JumpServer作业管理中Ansible Playbook存在任意文件写入的远程执行漏洞,CVE编号为CVE-2024-40629。漏洞详情:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-3wgp-q8m7-v33v。
以上漏洞影响版本为:
JumpServer v3.0.0-v3.10.11版本
安全版本为:
JumpServer版本>=v3.10.12版本
JumpServer版本>=v4.0.0版本
修复方案
■ 永久修复方案:升级JumpServer软件至上述安全版本。
■ 临时修复方案:关闭作业中心功能。关闭作业中心功能的具体步骤为:
以管理员身份登录至JumpServer堡垒机。依次选择“系统设置”→“功能设置”→“任务中心”,在打开的页面中关闭作业中心功能。
升级指南官方一些文档没更新,打不开,这个是可以打开的:
https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/online_upgrade/ 3.10.10升级到最新3.10.12
linux_standalone/offline_upgrade/" _src="https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/offline_upgrade/" style="font-family: -apple-system, "system-ui", "Segoe UI", "Noto Sans", Helvetica, Arial, sans-serif, "Apple Color Emoji", "Segoe UI Emoji"; text-wrap: wrap; background-color: rgb(255, 255, 255);">https://docs.jumpserver.org/zh/v4/installation/setup_linux_standalone/offline_upgrade 3.10.12升级到最新的4.0.x
刚升级3.10.10,也受影响了,升级4.0,还要升级最新的3.10.12,才能升级4.0,蛋疼死了
升级到 v4 前需要先升级到 v3 最新版本,否则升级将会直接失败
OS/Arch | Architecture | Linux Kernel | Offline Name |
---|---|---|---|
linux/amd64 | x86_64 | >= 4.0 | jumpserver-installer-v4.0.1.tar.gz |
linux/arm64 | aarch64 | >= 4.0 | jumpserver-installer-v4.0.1.tar.gz |
linux/s390x | s390x | >= 4.0 | jumpserver-installer-v4.0.1.tar.gz |
升级部署
cd /opt
wget https://resource.fit2cloud.com/jumpserver/installer/releases/download/v3.10.12/jumpserver-installer-v3.10.12.tar.gz
tar -xf jumpserver-installer-v3.10.12.tar.gzcd jumpserver-installer-v3.10.12
./jmsctl.sh upgrade# 启动 JumpServer 服务./jmsctl.sh start
cd /opt
wget https://resource.fit2cloud.com/jumpserver/installer/releases/download/v4.0.1/jumpserver-installer-v4.0.1.tar.gz
tar -xf jumpserver-installer-v4.0.1.tar.gzcd jumpserver-installer-v4.0.1
./jmsctl.sh upgrade# 启动 JumpServer 服务./jmsctl.sh start
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:http://hqyman.cn/post/7171.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~