推荐本站淘宝优惠价购买喜欢的宝贝:
蛋疼的jumpserver,刚升级3.10.10,又爆漏洞,又要升级。。。
2024年7月,有用户反馈发现JumpServer开源堡垒机存在安全漏洞,并向JumpServer开源项目组进行上报。此次发现的漏洞为:
■ JumpServer作业管理中Ansible Playbook存在可读取任意文件的漏洞,CVE编号为CVE-2024-40628。漏洞详情:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-rpf7-g4xh-84v9。
■ JumpServer作业管理中Ansible Playbook存在任意文件写入的远程执行漏洞,CVE编号为CVE-2024-40629。漏洞详情:https://github.com/jumpserver/jumpserver/security/advisories/GHSA-3wgp-q8m7-v33v。
以上漏洞影响版本为:
JumpServer v3.0.0-v3.10.11版本
安全版本为:
JumpServer版本>=v3.10.12版本
JumpServer版本>=v4.0.0版本
修复方案
■ 永久修复方案:升级JumpServer软件至上述安全版本。
■ 临时修复方案:关闭作业中心功能。关闭作业中心功能的具体步骤为:
以管理员身份登录至JumpServer堡垒机。依次选择“系统设置”→“功能设置”→“任务中心”,在打开的页面中关闭作业中心功能。
升级指南官方一些文档没更新,打不开,这个是可以打开的:
https://docs.jumpserver.org/zh/v3/installation/setup_linux_standalone/online_upgrade/ 3.10.10升级到最新3.10.12
https://docs.jumpserver.org/zh/v4/installation/setup_linux_standalone/offline_upgrade 3.10.12升级到最新的4.0.x
刚升级3.10.10,也受影响了,升级4.0,还要升级最新的3.10.12,才能升级4.0,蛋疼死了
升级到 v4 前需要先升级到 v3 最新版本,否则升级将会直接失败
| OS/Arch | Architecture | Linux Kernel | Offline Name |
|---|---|---|---|
| linux/amd64 | x86_64 | >= 4.0 | jumpserver-installer-v4.0.1.tar.gz |
| linux/arm64 | aarch64 | >= 4.0 | jumpserver-installer-v4.0.1.tar.gz |
| linux/s390x | s390x | >= 4.0 | jumpserver-installer-v4.0.1.tar.gz |
升级部署
cd /opt
wget https://resource.fit2cloud.com/jumpserver/installer/releases/download/v3.10.12/jumpserver-installer-v3.10.12.tar.gz
tar -xf jumpserver-installer-v3.10.12.tar.gzcd jumpserver-installer-v3.10.12./jmsctl.sh upgrade# 启动 JumpServer 服务./jmsctl.sh startcd /opt
wget https://resource.fit2cloud.com/jumpserver/installer/releases/download/v4.0.1/jumpserver-installer-v4.0.1.tar.gz
tar -xf jumpserver-installer-v4.0.1.tar.gzcd jumpserver-installer-v4.0.1./jmsctl.sh upgrade# 启动 JumpServer 服务./jmsctl.sh start本文链接:https://hqyman.cn/post/7171.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
官码2024000195号
萌ICP备20248119号
