日前,XXL-JOB 被各大云厂商报出存在远程执行 ”漏洞“,社区用户针对该问题咨询反馈量巨大,为将真实情况周知用户,特此发文说明,统一回复。
该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。
该问题类似于将一台 Mysql 、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql 、Redis 有漏洞,只需要设置密码即可。
文章提供详细的安全防护策略: https://mp.weixin.qq.com/s/jzXIVrEl0vbjZxI4xlUm-g
《 XXL-JOB 正在角逐 “2020 年度 OSC 中国开源项目评选”,期待您宝贵的一票!》
1
no1xsyzy 2020-10-30 15:21:51 +08:00
OSC 评选在 V2 已经被吊过了,看来是不怎么上 V2 的
|
2
binux 2020-10-30 15:30:03 +08:00 via Android 3
你就说你默认开启鉴权了没有?
|
3
shakoon 2020-10-30 15:44:57 +08:00 2
这个事情惊动的面很大,gov 部委和下辖国企都收到了通报要求迅速排查和处理。
|
4
dnsaq 2020-10-30 15:47:05 +08:00
开源本是一件好事,但是做事情尽善尽美,一个负责任的项目应该默认开启鉴权。
|
5
dk7952638 2020-10-30 15:53:37 +08:00
这事和项目完全无关,开发和运维人员 100%的锅,自己没有安全意识,开发测试生产环境一把梭怪谁?
|
6
swulling 2020-10-30 16:00:12 +08:00 via iPhone
鉴权应该默认开启,如果默认不开启背锅就背了吧
另外只通过固定 token 的方式进行鉴权是过不了很多安全评估的。 |
7
swulling 2020-10-30 16:04:00 +08:00 via iPhone
正确的做法有很多种,根本是私钥不传输也没法反向破译。
一种就是 AKSK 签名,基本上公有云都用这种,ak 可以被随时吊销 还有一种是客户端证书,k8s 的默认方式 |
8
lxk11153 2020-10-30 16:09:37 +08:00
233 我收到过邮件,然后我根本没用过这软件 [doge]
from: [email protected] title: [风险通告] XXL-JOB 未授权远程命令执行漏洞 time: 2020 年 10 月 28 日(星期三)下午 3 : 56 |
11
pierreorz 2020-10-30 19:55:21 +08:00
因为菜刀不戴套会伤人,所以默认菜刀必须要给带上套才能出来卖。
|
13
jiangzm 2020-10-31 13:13:47 +08:00
嘿,看到 xxl-job 的作者了,一直有个感觉是有多自恋会把项目用自己名字命名,xjob 都比 xxl-job 看着好一点。
|