漏洞简述及影响版本
由于 JumpServer 某些接口未做授权限制,攻击者可构造恶意请求获取到日志文件获取敏感信息,或者执行相关API操作控制其中所有机器。
JumpServer < v2.6.2
JumpServer < v2.5.4
JumpServer < v2.4.5
JumpServer = v1.5.9
环境要求:
处理器:4个
系统:CentOS7
内存:8G
系统语言:英文
踩坑:
- 先配置好CentOS访问github的加速地址、更换并更新yum源、dns地址等;
- 解压quick_start.zip后,需要给quick_start.sh执行权限(chmod);
- 需要预先给CentOS安装好docker,并配置好docker镜像源;
- 安装脚本:https://www.o2oxy.cn/wp-content/uploads/2021/01/quick_start.zip
- 原脚本下载的是从github获取的最新版本,为了复现环境需要修改quick_start.sh中的$Version,把原先一长串的地址代码改为存在漏洞的版本v2.6.1;
安装过程中全部选择默认的选项,默认n就n,默认y就y,文件夹也默认。
复现过程: