18
2024
07
11:34:21

蛋疼的jumpserver,刚升级3.10.10,又爆漏洞,又要升级。。。

蛋疼的jumpserver,刚升级3.10.10,又爆漏洞,又要升级。。。


2024年7月,有用户反馈发现JumpServer开源堡垒机存在安全漏洞,并向JumpServer开源项目组进行上报。此次发现的漏洞为:


 JumpServer作业管理中Ansible Playbook存在可读取任意文件的漏洞,CVE编号为CVE-2024-40628。漏洞详情:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-rpf7-g4xh-84v9。


 JumpServer作业管理中Ansible Playbook存在任意文件写入的远程执行漏洞,CVE编号为CVE-2024-40629。漏洞详情:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-3wgp-q8m7-v33v。


以上漏洞影响版本为:


JumpServer v3.0.0-v3.10.11版本


安全版本为:


JumpServer版本>=v3.10.12版本


JumpServer版本>=v4.0.0版本



修复方案


■ 永久修复方案:升级JumpServer软件至上述安全版本。


■ 临时修复方案:关闭作业中心功能。关闭作业中心功能的具体步骤为:


以管理员身份登录至JumpServer堡垒机。依次选择“系统设置”→“功能设置”→“任务中心”,在打开的页面中关闭作业中心功能。


c32f650f31b592feb123e7758709157.png



  升级指南官方一些文档没更新,打不开,这个是可以打开的:

https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/online_upgrade/    3.10.10升级到最新3.10.12


linux_standalone/offline_upgrade/" _src="https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/offline_upgrade/" style="font-family: -apple-system, "system-ui", "Segoe UI", "Noto Sans", Helvetica, Arial, sans-serif, "Apple Color Emoji", "Segoe UI Emoji"; text-wrap: wrap; background-color: rgb(255, 255, 255);">https://docs.jumpserver.org/zh/v4/installation/setup_linux_standalone/offline_upgrade    3.10.12升级到最新的4.0.x


刚升级3.10.10,也受影响了,升级4.0,还要升级最新的3.10.12,才能升级4.0,蛋疼死了


升级到 v4 前需要先升级到 v3 最新版本,否则升级将会直接失败

OS/ArchArchitectureLinux KernelOffline Name
linux/amd64x86_64>= 4.0jumpserver-installer-v4.0.1.tar.gz
linux/arm64aarch64>= 4.0jumpserver-installer-v4.0.1.tar.gz
linux/s390xs390x>= 4.0jumpserver-installer-v4.0.1.tar.gz
  1. 升级部署

cd /opt
wget https://resource.fit2cloud.com/jumpserver/installer/releases/download/v3.10.12/jumpserver-installer-v3.10.12.tar.gz
tar -xf jumpserver-installer-v3.10.12.tar.gzcd jumpserver-installer-v3.10.12
./jmsctl.sh upgrade# 启动 JumpServer 服务./jmsctl.sh start


cd /opt
wget https://resource.fit2cloud.com/jumpserver/installer/releases/download/v4.0.1/jumpserver-installer-v4.0.1.tar.gz
tar -xf jumpserver-installer-v4.0.1.tar.gzcd jumpserver-installer-v4.0.1
./jmsctl.sh upgrade# 启动 JumpServer 服务./jmsctl.sh start




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:http://hqyman.cn/post/7171.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: