V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2005 days ago, the information mentioned may be changed or developed.
日前,XXL-JOB 被各大云厂商报出存在远程执行 ”漏洞“,社区用户针对该问题咨询反馈量巨大,为将真实情况周知用户,特此发文说明,统一回复。
该问题本质上不属于 “漏洞”,官网版本提供了鉴权组件,开启即可进行防护。
该问题类似于将一台 Mysql 、Redis 实例,不设置密码并开放给公网,严格来说不能因此说 Mysql 、Redis 有漏洞,只需要设置密码即可。
文章提供详细的安全防护策略: https://mp.weixin.qq.com/s/jzXIVrEl0vbjZxI4xlUm-g
《 XXL-JOB 正在角逐 “2020 年度 OSC 中国开源项目评选”,期待您宝贵的一票!》
 |
1
no1xsyzy Oct 30, 2020
OSC 评选在 V2 已经被吊过了,看来是不怎么上 V2 的
|
 |
2
binux Oct 30, 2020 via Android  3
你就说你默认开启鉴权了没有?
|
 |
3
shakoon Oct 30, 2020 2
这个事情惊动的面很大,gov 部委和下辖国企都收到了通报要求迅速排查和处理。
|
 |
4
dnsaq Oct 30, 2020
开源本是一件好事,但是做事情尽善尽美,一个负责任的项目应该默认开启鉴权。
|
 |
5
dk7952638 Oct 30, 2020
这事和项目完全无关,开发和运维人员 100%的锅,自己没有安全意识,开发测试生产环境一把梭怪谁?
|
 |
6
swulling Oct 30, 2020 via iPhone
鉴权应该默认开启,如果默认不开启背锅就背了吧
另外只通过固定 token 的方式进行鉴权是过不了很多安全评估的。 |
|
7
swulling Oct 30, 2020 via iPhone
正确的做法有很多种,根本是私钥不传输也没法反向破译。
一种就是 AKSK 签名,基本上公有云都用这种,ak 可以被随时吊销 还有一种是客户端证书,k8s 的默认方式 |
 |
8
lxk11153 Oct 30, 2020
233 我收到过邮件,然后我根本没用过这软件 [doge]
from: [email protected] title: [风险通告] XXL-JOB 未授权远程命令执行漏洞 time: 2020 年 10 月 28 日(星期三)下午 3 : 56 |
 |
11
pierreorz Oct 30, 2020
因为菜刀不戴套会伤人,所以默认菜刀必须要给带上套才能出来卖。
|
 |
13
jiangzm Oct 31, 2020
嘿,看到 xxl-job 的作者了,一直有个感觉是有多自恋会把项目用自己名字命名,xjob 都比 xxl-job 看着好一点。
|
Select Language