阿里云报告 actuator中间件的漏洞

Spring Boot Actuator 未授权访问远程代码执行漏洞

2019年2月28日,阿里云云盾应急响应中心监测到有国外安全研究人员披露Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。
详情:
Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
解决方案:
禁用所有接口,将配置改成:

endpoints.enabled = false

或者引入spring-boot-starter-security依赖:


    org.springframework.boot
    spring-boot-starter-security

开启security功能,配置访问权限验证,类似配置如下:

management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxxx

或者在nginx上加访问白名单,只让内网访问

location /actuator {
    allow 内网ip;
    allow 内网ip;
    deny all;
    }

你可能感兴趣的:(阿里云报告 actuator中间件的漏洞)