【漏洞预警】Supervisor远程命令执行漏洞

尊敬的用户：

您好，Supervisor官方披露了编号为CVE-2017-11610的Supervisor远程命令执行漏洞。在一定场景下（RPC端口可被访问且存在弱口令），攻击者可利用该漏洞发送恶意XML-RPC请求进而获取服务器的操作权限。

为避免您的业务受影响，创新互联建站建议您及时开展自查，并尽快完成升级更新，详细参见如下指引说明：

【漏洞概述】

Supervisor是用Python开发的一个client/server服务，是Linux/Unix系统下的一个进程管理工具。部署了Supervisor的服务器，如果满足以下三个条件，攻击者将能通过发送恶意XML-RPC请求，远程执行恶意命令，进而获取服务器的操作权限（在某些场景下，攻击者最高可获取root权限）：

1） Supervisor版本在受影响的范围内（从3.0a1起至官方发布安全版本之前的所有版本）

2） RPC端口可被访问（默认配置下，外部无法访问）

3） RPC未设置密码或存在弱口令。

【漏洞编号】

CVE-2017-11610

【风险等级】

高风险

【漏洞影响】

借助此漏洞，在一定场景下，攻击者将能通过发送恶意XML-RPC请求，远程执行恶意命令，进而获取服务器的操作权限

【影响范围】

从3.0a1起除以下安全版本外所有版本的Supervisor

安全版本：

Supervisor 3.3.3

Supervisor 3.2.4

Superivsor 3.1.4

Supervisor 3.0.1

【检测方法】

自行检查使用的Supervisor版本是否在受影响范围内

【修复建议】

1.如果不需要使用该服务软件，建议关停卸载该软件，同时检查服务器上是否存在不正常的进程、或异常账号，确保服务器运行正常;

2.如需使用该服务软件，建议卸载后，重新安装升级到官方最新3.3.3版本，重新安装前建议通过抓取私有镜像和云硬盘快照来备份系统和数据;

3.由于该漏洞利用Supervisor开放的9001管理端口发起远程攻击，用户可以使用安全组策略屏蔽公网入、内网入方向的9001端口；

4.为Supervisor配置RPC登录认证强密码，建议密码至少8位以上，包括大小写字母、数字、特殊字符等混合体。

【相关参考】

https://github.com/Supervisor/supervisor/issues/964

https://www.leavesongs.com/PENETRATION/supervisord-RCE-CVE-2017-11610.html